安全公司谷歌旗下的Mandiant与谷歌威胁情报团队GTIG近期公开关注一起新出现的针对Oracle E-Business Suite(EBS)用户的大规模敲诈敲诈活动。攻击者通过大规模外泄与勒索邮件试图向企业高管施压,声称已窃取敏感数据并威胁公布或出售,赎金金额据报高达数千万美元。Mandiant表示,这波活动自2025年9月29日前后即已开始,但尚处于早期调查阶段,许多声明尚未完全证实,因此社区应保持警惕并尽快开展排查与防护工作。 从公开情报来看,攻击者采取的战术包含从大量被入侵的电子邮件账户发出高频率的敲诈邮件,这些发信账户中至少有一个以前与FIN11相关联。FIN11被认为是TA505组织的子集,过去多年间参与过多次勒索与敲诈行动,分发过多种恶意软件家族。谷歌Mandiant技术负责人表示,邮件中提供的联系方式与Cl0p数据泄露站点上列出的两个特定联系地址匹配,这表明攻击者很可能在利用Cl0p品牌影响力来提高其敲诈可信度,但目前并没有足够证据能断言该行动就是Cl0p直接操办。
安全研究机构Halcyon在更新报告中对潜在入侵路径给出更具体的假设,指出攻击者通过入侵电子邮件帐户,并滥用Oracle EBS面向互联网部署实例的默认密码重置机制,来获取有效凭证。关键在于大量组织为本地EBS账户配置了绕过企业单点登录的本地认证,而这些本地账户通常没有强制多因素认证,使得攻击者一旦控制邮件地址即可触发重置并登录目标系统,从而规避企业级SSO与MFA保护。 Oracle方面确认注意到有客户收到类似敲诈邮件,并表示调查显示可能存在利用已在2025年7月关键补丁更新中修复的已知漏洞的情况。因此Oracle已建议客户尽快应用最新的Critical Patch Update(CPU),以降低漏洞被滥用的风险。虽然Oracle未公开具体被利用的漏洞编号,厂商强调及时打补丁和强化账号管理是首要措施。 回顾过去,Cl0p勒索组织在多起广泛影响事件中利用零日或未修补的第三方软件缺陷入侵网络,包括Accellion FTA、SolarWinds Serv-U FTP、Fortra GoAnywhere MFT以及Progress MOVEit Transfer等平台,成功突破数千家机构并公开大量敏感数据。
因此安全界对任何涉及Cl0p品牌或其数据泄露站点的活动都保持高度警觉。 在这次新一波敲诈活动中,攻击者显示出两个显著特点。其一是高体量的邮件发送或"高频邮件战术",通过数百个被入侵账户同时发动,扩大覆盖面,增加受害组织被点对点命中的概率。其二是针对性虽弱但具有威慑力,攻击者似乎采取了机会主义的靶向策略,而非仅限于某一行业,这一点与Cl0p过往使用公开数据泄露站与多样化目标的手段相似。 对于正在运营Oracle EBS的企业与安全团队而言,短期内应重点关注几个方向。首先立刻排查并修补Oracle官方已发布的补丁,特别是2025年7月的Critical Patch Update应作为优先应用项。
补丁管理需要结合测试和分阶段部署计划,以避免对关键业务造成中断,同时确保补丁覆盖所有受影响的外部入口点。 其次彻底审查本地EBS账户的配置与认证策略,识别那些没有纳入企业SSO体系且未启用多因素认证的账户。应将本地账户数量降到最低,并对必须存在的本地账户强制实施MFA、复杂密码策略与定期凭证轮换。对所有支持邮件重置功能的账户路径进行限制或增加人工确认步骤,以降低被滥用的风险。 再者,加强对企业邮件环境的防护与监控。因为这次活动中攻击者大量使用被劫持的邮件帐户作为发信源,邮件账号的快速检测与响应至关重要。
建议启用异常登录检测、邮箱转发规则审计与自动化威胁情报关联,当发现大量外发敲诈邮件或异常行为时能快速隔离并重置相关凭证。 在检测技术层面,组织应重点关注来自互联网可达的EBS实例的登录记录、密码重置事件与异常会话。结合Web访问日志与应用层审计,可以识别使用邮箱控制流触发的重置操作或来自非常规IP/地理位置的会话。对关键数据访问行为采集详细审计,确保在发生入侵时能够迅速追溯攻击路径与暴露面。 此外,企业应评估是否存在历史遗留的"孤立账户"或管理不善的本地管理员凭证,这些往往成为攻击者横向移动与权限提升的跳板。定期进行权限梳理与最小权限审计,清理不再使用或未经授权的账户,能够显著降低被滥用的可能性。
从应急响应与危机处理角度,若确认收到敲诈威胁或检测到疑似入侵证据,组织应立即启动既定的事件响应流程。隔离受影响账户和系统,保留相关日志证据,并与第三方专家或厂商合作进行取证分析。向执法机构报告,并根据当地法律要求评估是否需要公开通告客户或合作伙伴。重要的企业资产应有离线备份与应急恢复计划,以减少在面临勒索或数据公开威胁时的被迫决策空间。 沟通策略同样关键。收到敲诈邮件时,不要直接与攻击者通过原始邮件线程互动,避免泄露更多信息。
由专门的响应团队与法律顾问协调对外声明,既要保护公司声誉,也要保证依法合规地处理潜在数据暴露问题。对外部供应商、客户与合作伙伴的通知应由统一渠道发布,避免造成管理混乱或泄漏更多敏感细节。 长期来看,企业应强化第三方风险管理,评估所有与企业关键系统发生交互的外部软件与服务。Cl0p等组织历来通过供应链软件缺陷扩大攻击面,强化供应链安全、实施严格的补丁与配置审查,以及对外部组件进行定期安全评估,都是降低遭遇类似攻击的重要手段。 零信任架构理念在此类威胁面前显示出明确价值。将网络与应用访问控制从边界防御转向基于身份与最小权限的策略,可以降低单一凭证被滥用时造成的破坏面。
结合持续的风险评估与行为分析,能够更早发现异常并自动化响应,从而缩短攻击者在环境内的停留时间。 对于安全行业与研究社区而言,持续共享情报至关重要。当Mandiant、GTIG与Halcyon等机构公开观察结果时,其他厂商和组织应及时校验自身环境是否受影响,并将发现回馈社区,以便形成更全面的威胁图谱。当前情报显示,攻击规模大、影响面广,单一组织难以独自应对,跨界协同能提升整体防御效果。 技术之外的治理与培训也不容忽视。员工对钓鱼与社交工程攻击的认知直接影响邮件账户安全。
定期开展模拟演练与安全培训,提升员工对可疑邮件与异常请求的识别能力,并鼓励及时报告异常事件,能有效减少攻击者借助人工因素开展后续操作的机会。 总体而言,这次针对Oracle E-Business Suite的敲诈活动提醒企业:及时打补丁、强化身份与访问管理、审查并收紧本地账户与邮件重置路径,以及提升邮件与外部接口的检测能力,是目前最紧迫的防护要点。尽管调查仍在进行,且尚未完全确认与Cl0p的直接关联,但鉴于攻击者利用的数据泄露站点与过往战术的相似性,所有使用相关系统的机构都应当以最高优先级对其环境进行全面审查与加固。 安全并非一朝一夕之功,需要技术、流程与人员的协同投入。面对越来越多利用供应链与云服务漏洞的勒索浪潮,企业需要将补丁管理、身份防护与日志可见性作为长期投资。及时与厂商、专业安全服务机构以及执法部门沟通,可以在遭遇威胁时获得更快速、有效的支持与响应路径。
最后,若你的组织使用Oracle EBS并怀疑受到影响,务必尽快核查开放的用户重置通道、应用所有相关补丁、审计邮件及登录事件,并与安全合作伙伴共同开展深入取证。只有通过全面的预防、检测与响应措施,才能最大程度降低因敲诈与数据泄露带来的损失与声誉风险。 。
