谷歌威胁情报小组(Google Threat Analysis Group)和旗下安全公司 Mandiant 在最新报告中表示,一场针对 Oracle E-Business Suite(EBS) 的大规模勒索攻击活动可能早在 7 月 10 日 就已开始,目标范围可能多达 数百甚至上千个组织。
报告指出,这些攻击者使用了一个多阶段的 Java 植入框架(multi-stage Java implant framework),成功入侵了部分 Oracle EBS 环境。
“在一些案例中,攻击者确实从受害组织中窃取了大量数据。”谷歌在报告中写道。
🧩 漏洞与补丁:源头来自 7 月修复的 EBS 漏洞
事情的起点可以追溯到今年 7 月,Oracle 当时发布了一个紧急补丁,用来修复 EBS 系统中的关键漏洞。
这个漏洞允许攻击者远程执行代码、植入恶意模板并访问敏感数据库信息。
根据谷歌的分析,最新的一轮攻击与这个漏洞高度相关。虽然 Oracle 已在 10 月 4 日 发布更新补丁来修复 UiServlet 组件的被利用问题,但谷歌指出:
“我们看到的攻击链并不止一种,部分黑客仍在利用其他路径入侵 Oracle EBS 环境。”
换句话说,即便企业已经打上补丁,也不能掉以轻心。谷歌建议所有 EBS 用户尽快进行漏洞扫描与日志分析,确保没有残留的攻击活动。
💀 攻击链条:Cl0p 勒索组织的影子再现
根据 Mandiant 的调查,这次攻击背后可能与臭名昭著的 Cl0p(也称 Clop 或 CL0P^_- LEAKS)勒索组织 有关联。
该组织由名为 Fin11 的黑客团伙运营,过去曾策划过多起全球范围的大规模数据勒索事件。
9 月底,谷歌的威胁情报团队开始注意到异常邮件活动。攻击者向多家企业高管发送邮件,声称掌握了从 EBS 环境中窃取的数据。
部分受害企业证实,这些邮件确实包含他们系统中的文件目录清单和数据库结构信息。
谷歌进一步追踪发现,攻击者使用了长期关联 Cl0p 的邮箱地址:
support@pubstorm.comsupport@pubstorm.net
这两个邮箱在过去的 MOVEit 文件传输系统勒索事件(2023) 中也曾出现。
🕵️ 谁在背后操纵:Lapsus$?ShinyHunters?还是混合体?
谷歌提到,在 Telegram 群组 “SCATTERED LAPSUS$ HUNTERS” 中出现了一些与此次攻击重叠的技术指标(IoC)。
不过,目前并没有确凿证据表明 ShinyHunters 或 Lapsus$ 团体直接参与其中。
这些组织曾多次联手发动针对大型科技公司的攻击,包括 谷歌、Cloudflare、Zscaler 等,
最近还与一家名为 Salesloft 的第三方应用供应商发生了相关安全事件。
谷歌在报告中指出,这些威胁团伙之间的界限正变得越来越模糊,他们共享工具、漏洞利用代码和目标名单,
因此“某个特定攻击链往往是多个黑客组织混合协作的结果”。
🧠 谷歌的防御建议:打补丁只是第一步
谷歌和 Mandiant 给出了多项防御建议,帮助企业降低风险:
- 立即安装 Oracle 10 月补丁更新,尤其是 UiServlet 模块相关修复。
- 在数据库中搜索恶意模板或未知脚本,并对可疑任务进行审计。
- 限制出站互联网访问,防止系统被利用作为数据外传通道。
- 分析网络日志与内存快照,使用内存取证工具定位潜伏代码。
- 对照谷歌发布的 IoC(入侵指标)列表进行排查。
谷歌特别强调,EBS 系统常作为企业核心业务平台(ERP/财务/人力)运行,一旦遭攻击,后果往往是全局性的。
而且由于漏洞影响范围广,攻击者可能通过第三方外包或合作账户入侵,因此真正的受害范围可能比目前报告的更大。
🧨 谷歌:攻击活动或已持续三个月以上
谷歌的追踪数据显示,攻击者最早在 7 月 10 日 就开始进行扫描和渗透尝试,
到 8 月 9 日 之后开始正式利用疑似零日漏洞(推测为 CVE-2025-61882)。
目前,谷歌已确认至少有数十家组织被攻陷,
而在更广泛的范围内,可能有上千个第三方账户受到牵连。
🧩 总结:EBS 成为新勒索焦点,云端安全形势更严峻
这次 Oracle EBS 勒索攻击再次表明:
即便是老牌企业级软件系统,只要连接到互联网,就逃不过新一代勒索集团的锁定。
尤其是在 ERP、财务、人事等关键业务系统上,攻击者不仅追求加密赎金,更瞄准了数据泄露与勒索并行的新盈利模式。
正如谷歌威胁情报组首席分析师 John Hultquist 所说:
“大规模零日攻击活动正在成为网络犯罪的常态,
企业唯一能做的就是提前补丁、持续监控、快速响应。”
