CL0P cible Oracle E‑Business Suite on‑prem avec une campagne massive d’exfiltration (juil.–sept. 2025)

Source: Cybereason — Cybereason décrit une campagne d’exfiltration de données menée par le groupe CL0P entre juillet et septembre 2025 contre des déploiements on‑premise d’Oracle E‑Business Suite (EBS). L’opération, similaire aux précédentes campagnes de CL0P (ex. MOVEit), s’appuie sur des vulnérabilités corrigées dans la CPU Oracle de juillet 2025. Oracle a confirmé l’exploitation de failles déjà identifiées et a exhorté à appliquer immédiatement les correctifs.

Les vulnérabilités exploitées incluent CVE-2025-30746 (iStore), CVE-2025-30745 (MES for Process Manufacturing) et CVE-2025-50107 (Universal Work Queue). Classées de sévérité moyenne, elles sont exploitables à distance via HTTP par des attaquants non authentifiés, avec une certaine interaction utilisateur requise. Les correctifs sont disponibles depuis la CPU de juillet 2025.

Chaîne d’attaque observée: reconnaissance d’instances EBS exposées, exploitation pour accès initial, énumération des magasins de données accessibles, puis exfiltration systématique. Les victimes ont reçu des emails d’extorsion, envoyés via des comptes email compromis d’organisations légitimes pour contourner détection et filtrage. Le chemin d’intrusion inclut des indices de manipulation d’identifiants, altération de comptes et mécanismes de persistance. Les organisations sont invitées à patcher immédiatement, implémenter MFA/SSO et mener des investigations forensiques pour évaluer une compromission potentielle.

Indicateurs forensiques et détection: présence d’accès non autorisés, modèles d’accès aux données anormaux, traces de webshells/backdoors, et activité suspecte sur des comptes utilisateurs/services durant juillet–septembre 2025. La détection nécessite l’analyse corrélée des logs d’accès web, des événements d’authentification et des flux de transferts de données au sein d’Oracle EBS et des composants intégrés de Fusion Middleware.

IOCs et TTPs:

• IOCs (extraits du texte):
  • Période d’activité: juillet–septembre 2025
  • Signes: accès non autorisés, accès aux données anormal, présence de webshells/backdoors, activité suspecte sur comptes utilisateurs/services
• TTPs:
  • Reconnaissance d’instances EBS exposées 🌐
  • Exploitation à distance via HTTP d’EBS (CVE-2025-30746/30745/50107)
  • Énumération des data stores et exfiltration de données 📤
  • Usage de comptes email compromis pour l’extorsion ✉️
  • Manipulation d’identifiants, altération de comptes, persistance (webshells/backdoors)

Type d’article: analyse de menace visant à documenter une campagne d’exploitation et ses indicateurs/détections.

🧠 TTPs et IOCs détectés

TTPs

Reconnaissance d’instances EBS exposées, Exploitation à distance via HTTP d’EBS (CVE-2025-30746/30745/50107), Énumération des data stores et exfiltration de données, Usage de comptes email compromis pour l’extorsion, Manipulation d’identifiants, altération de comptes, persistance (webshells/backdoors)

IOCs

Période d’activité: juillet–septembre 2025, Signes: accès non autorisés, accès aux données anormal, présence de webshells/backdoors, activité suspecte sur comptes utilisateurs/services

---

🔗 Source originale : https://www.cybereason.com/blog/oracle-ebs-extortion-cl0p

🖴 Archive : https://web.archive.org/web/20251005204953/https://www.cybereason.com/blog/oracle-ebs-extortion-cl0p