Hoe een Zero-Day lek in Oracle E-Business Suite leidde tot afpersing

De jacht op de Zero-Day: tijdlijn van een stille inbraak

De campagne, die de vermoedelijke zero-day CVE-2025-61882 exploiteerde, begon al in de schaduw van de zomer aldus Google en Mandiant. De eerste verdachte activiteiten dateren van 10 juli 2025, weken vóór de officiële beveiligingsupdates van Oracle in juli.

Het meest verontrustende was de succesvolle exploitatie van de kwetsbaarheid in het EBS-systeem vanaf 9 augustus 2025. Dit wijst erop dat de dreigingsactoren al lang voor de afpersingsfase wisten van de kwetsbaarheid en deze actief gebruikten om data te exfiltreren, vaak in aanzienlijke hoeveelheden.

Oracle reageerde in eerste instantie op 2 oktober met de suggestie dat het om reeds gepatchte lekken ging, maar moest dit later corrigeren. Op 4 oktober 2025 drong het bedrijf er bij klanten op aan om noodpatches toe te passen om de recent ontdekte zero-day definitief te dichten.

CL0P’s nieuwe tactiek: van ransomware naar massale exploitatie

De naam CL0P is synoniem geworden met high-impact afpersing. De groep, of de dreigingsactoren die hun 'merk' gebruiken, stonden aanvankelijk bekend om ransomware, maar hebben hun focus verlegd naar massale diefstal van data via zero-day lekken in Managed File Transfer (MFT)-systemen zoals Accellion, GoAnywhere MFT en MOVEit MFT.

De aanval op Oracle EBS past perfect in dit succesvolle operationele model. Het is een strategische keuze om zich te richten op publiek gerichte bedrijfsapplicaties die gevoelige data opslaan. Dit stelt de aanvallers in staat om snel data te stelen van talloze organisaties zonder tijd te verspillen aan laterale bewegingen binnen het netwerk.

De afpersingsmails, verstuurd vanaf een groot aantal gecompromitteerde accounts (een tactiek om spamfilters te omzeilen), eisten losgeld in ruil voor het niet publiceren van de gestolen documenten. De contactadressen support@pubstorm.com en support@pubstorm.net werden gebruikt, dezelfde adressen die al sinds mei 2025 op de CL0P Data Leak Site (DLS) stonden vermeld.

Technische analyse: de meerstaps Java-implantaten

De dreigingsactoren maakten gebruik van een geavanceerd, meerstaps Java implantaten-framework om de Oracle EBS-omgevingen te compromitteren. De kwetsbaarheden zaten in twee specifieke componenten van de software:

1. UiServlet (Juli 2025): Vroege verdachte activiteit richtte zich op dit component, mogelijk gebruikmakend van een exploit chain die onder meer Server-Side Request Forgery (SSRF) en XSL template injection combineerde om Remote Code Execution te verkrijgen.
2. SyncServlet (Augustus 2025): Later stapten de aanvallers over op een exploit-keten die misbruik maakte van de SyncServlet-component om unauthenticated Remote Code Execution te bereiken.

Het meest kritieke technische inzicht is de manier waarop de payload (de kwaadaardige code) werd opgeslagen: niet op schijf, maar direct in de EBS-database in de tabel XDO_TEMPLATES_B.

De SAGE* infectieketen: Een geavanceerde loader

De aanvallers injecteerden vervolgens complexe Java-payloads via XSL-templates, waaronder twee hoofdvarianten:

• GOLDVEIN.JAVA: Een Java-variant van de downloader GOLDVEIN, die verbinding maakt met een Command-and-Control (C2) server om een second-stage payload op te halen. Dit is een tool die eerder in 2024 werd gebruikt door de vermoedelijke FIN11-cluster UNC5936 tijdens de exploitatie van Cleo MFT.
• SAGE* Infectieketen: Een geneste reeks van meerdere Java payloads (SAGEGIFT, SAGELEAF, SAGEWAVE) die uiteindelijk een persistent kwaadaardig Java servlet filter installeerden. Dit filter stelde de aanvaller in staat om via een specifiek HTTP-pad extra Java-classes te deployen, waardoor de dreiging in het geheugen actief bleef.

Na een succesvolle exploitatie voerden de aanvallers via het gecompromitteerde EBS-account "applmgr" verkenningstaken uit, waaronder het uitlezen van netwerkconfiguratie en het starten van reverse shells om hun controle te bestendigen en de data-exfiltratie voor te bereiden.

Implicaties en aanbevelingen

Hoewel GTIG de activiteit nog niet formeel aan FIN11 heeft toegeschreven, zijn de overlap met de CL0P-merknaam en de technische gelijkenissen met de malware van UNC5936 (een vermeende FIN11-groep) significant. Het gebruik van zero-day lekken en de vertraging van de afpersing zijn kenmerken die de aanvallers in staat stellen onopgemerkt data te stelen van een groot aantal slachtoffers.

Defenders van Oracle EBS-omgevingen moeten onmiddellijk actie ondernemen:

1. Patchen is Essentieel: Pas met de hoogste prioriteit de noodpatches van 4 oktober 2025 toe (CVE-2025-61882).
2. Database Hunting: Controleer de XDO_TEMPLATES_B en XDO_LOBS tabellen in de EBS-database op kwaadaardige templates, met name templates waarvan de TEMPLATE_CODE begint met TMP of DEF.
3. Beperk Uitgaand Verkeer: Blokkeer al het niet-essentiële uitgaande internetverkeer vanaf de EBS-servers om de C2-communicatie van de Java-payloads te verhinderen.
4. Log Analyse: Zoek naar anomalieën en Indicators of Compromise (IOC's) in netwerklogs, specifiek verzoeken naar de eindpunten SyncServlet en TemplatePreviewPG met de verdachte TemplateCode-voorvoegsels.

De recente gebeurtenissen rond Oracle EBS bevestigen een verontrustende trend: cybercriminelen investeren in de exploitatie van kwetsbaarheden in bedrijfskritieke, publiek gerichte software om hun afpersingsoperaties op industriële schaal uit te voeren. Organisaties moeten hun verdedigingsmechanismen aanscherpen, verder gaan dan de traditionele grensbeveiliging en zich richten op de interne applicatielagen.