甲骨文零日漏洞引危机 数十家机构敏感信息遭窃

谷歌威胁情报组（GTIG）与Mandiant在周四发布的一份新报告中表示，自2025年8月9日起，甲骨文公司电子商务套件（EBS）软件的一个安全漏洞遭到零日漏洞利用，可能已影响到数十家机构。

谷歌云威胁情报首席分析师John Hultquist在接受The Hacker News采访时表示：“我们仍在评估这一事件的范围，但相信已有数十家组织受到影响”，“过去一些Cl0p的数据勒索行动中受害者多达数百家。不幸的是，这类大规模零日攻击活动正在成为网络犯罪的常态。”

这次活动带有Cl0p勒索软件团伙的典型特征。攻击者组合利用了多个不同漏洞，其中包括一个编号为CVE-2025-61882（CVSS评分9.8）的零日漏洞，用以入侵目标网络并窃取敏感数据。谷歌称，其发现可疑活动可追溯至2025年7月10日，但这些早期尝试的成功程度尚不明确。Oracle此后已发布补丁修复漏洞。

攻击背景与手法

Cl0p又名Graceful Spider，自2020年活跃以来，曾多次利用零日漏洞发动大规模攻击，目标包括Accellion旧版文件传输设备（FTA）、GoAnywhere MFT、Progress MOVEit MFT和Cleo LexiCom等软件。以往 FIN11 黑客组织发起的钓鱼邮件活动通常是 CL0P 勒索软件部署的前奏，但谷歌表示，此次发现该文件加密恶意软件的操控者似乎是另一个不同的黑客组织。

2025 年 9 月 29 日，新一轮攻击正式展开，攻击者利用数百个被盗的第三方机构账户（这些账户分属不同组织）向企业高管发起大规模钓鱼邮件攻击。据称，这些账户的凭证是在地下论坛购买的，很可能来自信息窃取恶意软件日志。

邮件中声称攻击者已入侵目标机构的甲骨文电子商务套件应用并窃取敏感数据，要求对方支付一笔未指明金额的赎金，否则将泄露被盗信息。截至目前，此次攻击事件的受害者尚未出现在 CL0P 的数据泄露网站上，这与该组织以往的攻击模式一致 —— 通常会等待数周后才公布受害者名单。

攻击者在攻击过程中综合运用了服务器端请求伪造、回车换行注入、身份验证绕过及可扩展样式表语言模板注入等多种技术手段，以获取目标甲骨文电子商务套件服务器的远程代码执行权限并建立反向 shell。

技术细节

谷歌表示，2025 年 8 月前后，发现某威胁行为者利用 “/OA_HTML/SyncServlet” 组件的漏洞实现远程代码执行，并最终通过模板预览功能触发可扩展样式表语言负载。目前已发现该负载中嵌入了两条不同的 Java 负载链：

GOLDVEIN.JAVA：这是名为 “金脉”（GOLDVEIN）的下载器的 Java 变种（该下载器的 PowerShell 版本最早于 2024 年 12 月在多起克利奥软件产品漏洞利用事件中被发现），能够从命令与控制服务器接收第二阶段负载。

SAGEGIFT：这是一款为甲骨文 WebLogic 服务器定制的 Base64 编码加载器，用于启动内存驻留型投放器 SAGELEAF，进而安装恶意 Java servlet 过滤器 SAGEWAVE，该过滤器可用于安装一个加密压缩包，其中包含未知的后续阶段恶意软件（不过其主要负载与 FIN11 黑客组织的 GOLDTOMB 后门程序中的命令行界面模块存在部分重合）。

此外，还观察到威胁行为者通过电子商务套件的 “applmgr” 账户执行各类侦察命令，并通过运行 GOLDVEIN.JAVA 的 Java 进程启动 bash 进程执行相关命令。

值得注意的是，2025 年 7 月事件响应过程中发现的部分攻击痕迹，与 2025 年 10 月 3 日 “分散的 LAPSUS$ 猎人” 电报群泄露的一个漏洞利用程序存在重合。但谷歌表示，目前尚无足够证据表明该网络犯罪团伙参与了此次攻击活动。

战略评估

GTIG 指出，从此次攻击投入的资源规模来看，发起初始入侵的威胁行为者很可能在攻击前投入了大量资源进行研究。

这家科技巨头表示，目前尚未正式将此次系列攻击归属于某个已知威胁组织，但强调攻击者使用 CL0P 名号这一行为值得关注。不过，有迹象表明该威胁行为者与 CL0P 存在关联。谷歌还指出，此次攻击中使用的后期利用工具与此前疑似 FIN11 组织攻击活动中使用的恶意软件（如 GOLDVEIN 和 GOLDTOMB）存在重合，且用于发送近期勒索邮件的一个被盗账户此前曾被 FIN11 组织使用过。

声明中提到：“先利用广泛使用的企业级应用程序中的零日漏洞，数周后发起大规模品牌化勒索活动，这一模式是 FIN11 组织的典型攻击特征，该模式具有战略优势，可能也会被其他威胁行为者借鉴。”

“针对存储敏感数据的面向公众的应用程序及设备发起攻击，可能会提高数据窃取效率，因为威胁行为者无需投入时间和资源进行横向渗透。”

---

消息来源：cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；