アメリカン航空が所有する地域航空会社のEnvoy Airは、Clop恐喝グループがアメリカン航空をデータリークサイトに掲載した後、Oracle E-Business Suiteアプリケーションからデータが侵害されたことを認めました。
「EnvoyのOracle E-Business Suiteアプリケーションに関するインシデントを認識しています」とEnvoy AirはBleepingComputerに語りました。
「この問題を知った直後、直ちに調査を開始し、法執行機関にも連絡しました。問題となったデータを徹底的に確認した結果、機密情報や顧客データが影響を受けていないことを確認しました。ごく一部の業務情報や商業用連絡先情報が侵害された可能性があります。」
Envoy Airはアメリカン航空の子会社であり、American Eagleブランドのもとで地域便を運航しています。別会社として機能していますが、チケット発券、スケジューリング、旅客サービスの面でアメリカン航空のネットワークに統合されています。
Clopランサムウェアグループは現在、Envoyから盗んだと主張するデータをデータリークサイトで公開しており、「この会社は顧客のことを気にしていない、セキュリティを無視した!」と述べています。
この新たなセキュリティインシデントは、Clop恐喝グループが8月に実施したデータ窃取キャンペーンに関連しており、9月には企業に恐喝メールを送信し、Oracle E-Business Suiteシステムからデータを盗んだと主張していました。
Oracleは当初、脅威アクターが7月に修正された脆弱性を悪用していると述べていましたが、その後、恐喝グループがCVE-2025-61882として追跡されているゼロデイ脆弱性を攻撃に利用していたことを明らかにしました。
CrowdStrikeとMandiantは後に、Clopが8月初旬にこの脆弱性を悪用してシステムに侵入し、マルウェアを展開したことを明らかにしました。
Clopはデータ窃取攻撃で何社が影響を受けたかを明かしていませんが、GoogleのJohn Hultquist氏はBleepingComputerにメールで、数十の組織が影響を受けたと考えていると述べています。
Clopグループはまた、同じデータ窃取キャンペーンの一環としてハーバード大学を恐喝しており、大学はBleepingComputerに対し、「小規模な管理部門に関連する限られた関係者」に影響が及んでいることを認めています。
先週、Oracleは別のE-Business Suiteゼロデイ(CVE-2025-61884)を密かに修正しましたが、2025年7月に実際に悪用されていたことは公表しませんでした。
このゼロデイは、Shiny Lapsus$ Hunters恐喝グループがTelegramでリークしたエクスプロイトに関連しています。
アメリカン航空は以前にも、2022年と2023年に従業員の個人情報が漏洩するデータ侵害を経験しています。
Clopとは?
Clopランサムウェアのオペレーションは、TA505、Cl0p、FIN11としても追跡されており、2019年に企業ネットワークに侵入してCryptoMixランサムウェアの亜種を展開し、データを盗む活動を開始しました。
2020年以降、この恐喝グループは主にランサムウェアから、セキュアなファイル転送やデータ保存プラットフォームのゼロデイ脆弱性を悪用してデータを盗む手法へとシフトしています。
彼らがゼロデイ脆弱性を利用した主な攻撃例は以下の通りです:
- 2020年:Accellion FTAプラットフォームのゼロデイを悪用し、約100の組織に影響。
- 2021年:SolarWinds Serv-U FTPソフトウェアのゼロデイを悪用。
- 2023年:GoAnywhere MFTプラットフォームのゼロデイを悪用し、100社以上に侵入。
- 2023年:MOVEit Transferのゼロデイを悪用したClop史上最大のキャンペーンでは、世界中で2,773組織からデータが窃取されました。
- 2024年:Cleoファイル転送の2つのゼロデイ(CVE-2024-50623およびCVE-2024-55956)を悪用し、データを盗み企業を恐喝。
米国国務省は現在、Clopのランサムウェア活動を外国政府と結びつける情報に対し、1,000万ドルの報奨金を提供しています。
