Аналитики Google Threat Intelligence Group (GTIG) совместно со специалистами Mandiant зафиксировали масштабную кибератаку, предположительно связанную с деятельностью вымогательской группировки Clop. По информации GTIG, злоумышленники получили доступ к серьёзному объёму конфиденциальной информации, эксплуатируя ранее неизвестную уязвимость в платформе Oracle E-Business Suite (EBS).
Исследование, опубликованное 9 октября, показало, что атаки, вероятно, начались ещё в начале августа 2025 года. Активная фаза кампании пришлась на конец сентября, когда руководители различных организаций начали получать электронные письма с требованиями выкупа. Отправители писем ссылались на утечку внутренних данных и указывали контактные адреса электронной почты support@pubstorm.com. Эти адреса ранее фигурировали на сайте утечек Clop (Data Leak Site) как минимум с мая 2025 года, что усилило связь между кампанией и данной хакерской группировкой.
В GTIG уточняют, что компрометация систем стала возможна через уязвимость нулевого дня — CVE-2025-61882, эксплуатация которой началась до официального выпуска обновлений безопасности.
Несмотря на то что пострадавшие организации пока не были внесены в публичный список жертв на платформе Clop DLS, специалисты считают, что задержка публикации данных соответствует прежней тактике группировки, которая предпочитает выжидать определённый период перед обнародованием информации.
В числе доказательств своей причастности злоумышленники предоставили некоторым жертвам списки файлов, извлечённых из среды Oracle EBS. Эти документы датированы серединой августа, что совпадает с предполагаемыми сроками начала активной фазы атаки. По данным GTIG, основное внимание Clop вновь сосредоточено на эксплойтах, направленных на инфраструктуру управляемой передачи файлов (MFT), которая остаётся одной из приоритетных целей группировки.
В отчёте также указывается, что применённые в ходе атаки инструменты демонстрируют сходство с уже известными приёмами Clop. В частности, используется загрузчик GOLDVEIN.JAVA, работающий в памяти и отвечающий за доставку вредоносной нагрузки следующего этапа. Аналогичные техники наблюдались при атаке на уязвимость в системе Cleo MFT в конце 2024 года, где использовались компоненты GOLDVEIN и бэкдор GOLDTOMB.
Специалисты GTIG заявили, что наличие инфраструктуры Clop DLS и применение вируса-вымогателя Clop не всегда однозначно указывает на группу FIN11. Анализ показал, что данными ресурсами могут пользоваться и другие злоумышленники, действующие независимо или в рамках других киберпреступных кластеров.