حملة هجوم إلكتروني متطورة من مجموعة برامج الفدية CL0P تستهدف بيئات Oracle E-Business Suite (EBS) من خلال ثغرة أمنية غير معروفة سابقًا، مما يؤثر على العديد من المؤسسات على مستوى العالم. بدأ الهجوم في أوائل أغسطس 2025، حيث يستغل الثغرة الأمنية الحرجة CVE-2025-61882 التي ظلت بدون تصحيح لعدة أشهر. أطلق المهاجمون حملة ابتزاز واسعة النطاق في أواخر سبتمبر، حيث أرسلوا رسائل بريد إلكتروني إلى المديرين التنفيذيين في الشركات، مدعين أنهم سرقوا بيانات حساسة من أنظمة Oracle EBS الخاصة بهم. تضمنت هذه الرسائل، المرسلة من حسابات طرف ثالث مخترقة، قوائم ملفات شرعية من بيئات الضحايا. وارتبطت رسائل الابتزاز بعناوين اتصال مرتبطة بموقع تسريب البيانات الخاص بـ CL0P منذ مايو 2025.
أبلغت شركة Oracle لأول مرة عن استغلال الثغرة الأمنية في أوائل أكتوبر وأوصت بتطبيق تحديثات التصحيح الحرجة من يوليو 2025. ومع ذلك، تم إصدار تصحيحات طارئة في 4 أكتوبر 2025، لمعالجة الثغرة الأمنية غير المعروفة سابقًا بعد اكتشاف أنها قد استغلت لعدة أسابيع. تتضمن الثغرة الأمنية عدة نواقل هجوم، مما يسمح بتنفيذ التعليمات البرمجية عن بُعد على خوادم Oracle EBS. حدد تحليل من Google سلاسل استغلال متميزة تستهدف مكونات servlet مختلفة داخل بنية EBS التحتية.
في أغسطس، بدأ المهاجمون في استغلال مكون SyncServlet، وبدؤوا الهجمات بطلبات POST. استخدموا وظيفة مدير القوالب XDO لإنشاء قوالب ضارة داخل قاعدة بيانات EBS، مما أدى إلى تشغيل الحمولات من خلال وظيفة معاينة القوالب. نشر المهاجمون إطار عمل زراعة جافا متعدد المراحل متطور، بما في ذلك برنامج تنزيل يتواصل مع خوادم القيادة والتحكم.
بعد نجاح الاستغلال، أجرى الجهات المهاجمة عمليات استطلاع وأنشأوا قذائف عكسية إلى عنوان IP محدد. يعكس نمط الهجوم حملات CL0P السابقة، مما يشير إلى استمرارية في أساليبهم. يوصي خبراء الأمن بتطبيق تصحيحات الطوارئ من Oracle، والبحث عن قوالب قاعدة بيانات ضارة، وتقييد الوصول إلى الإنترنت من خوادم EBS، ورصد الطلبات المشبوهة. يجب على المؤسسات استعلام جداول قاعدة البيانات المحددة لتحديد القوالب المشبوهة، حيث يتم تخزين الحمولات مباشرة داخل بنية EBS التحتية. تشمل مؤشرات الاختراق عدة عناوين IP لوحظت في محاولات الاستغلال.
