Clopランサムウェアグループと見られる攻撃者が、オラクルの顧客に対して恐喝目的のメールを送り、同社のE-Business Suiteからデータを盗んだと主張していると、CyberScoopに語った研究者らが明らかにしました。
Clopによるデータ窃盗の主張の真偽はまだ確認されていませんが、メールを受け取った組織のオラクル環境に対する複数の調査が進行中です。
「現在、数百の侵害されたアカウントから大量のメールキャンペーンが展開されているのを観測しています」とMandiant ConsultingのCTO、チャールズ・カーマカル氏はCyberScoopに語りました。「悪意のあるメールには連絡先情報が含まれており、提供された2つの特定の連絡先アドレスがClopのデータリークサイトにも公開されていることを確認しました」と同氏は付け加えました。
Clopはこの主張をリークサイトを通じて公表していません。オラクルはコメントの要請にすぐには応じませんでした。
この恐喝活動は、9月29日以前から、数百の侵害されたサードパーティアカウントから企業幹部宛てに送信された標的型メールを含んでいると、Google Threat Intelligence Groupのサイバー犯罪および情報作戦インテリジェンス分析責任者、ジーンヴィーブ・スターク氏は述べています。
「脅威アクターの主張が信頼できるかどうか、またもしそうならどのようにアクセスを得たのかは、まだ明らかではありません」とスターク氏はCyberScoopに語りました。
戦術や連絡先メールアドレスはClopと一致していますが、研究者たちはこの金銭目的のグループが攻撃の背後にいるかどうかはまだ確認できていません。
Clopは非常に多作で悪名高いランサムウェアグループであり、複数のテクノロジーベンダーのシステムへの侵入に成功し、多くの下流顧客のデータを盗むことを可能にしてきました。
この金銭目的の脅威グループは、ファイル転送サービスの脆弱性を悪用して大規模な攻撃を行うことを専門としています。Clopは2023年にMOVEit環境へ侵入し、最終的に2,300以上の組織のデータを流出させ、その年最大かつ最も重大なサイバー攻撃となりました。
恐喝メールは、特定のベンダーではなく、さまざまな正規ウェブサイトの数百の侵害されたサードパーティアカウントから送信されていると、GTIGのプリンシパルアナリスト、オースティン・ラーセン氏は述べています。「これらのメールの中で主張されているのは、標的となった組織のオラクルE-Business Suiteからデータを盗んだということです」と同氏は付け加えました。
研究者が観測したメールには具体的な要求は含まれていませんが、被害者に脅威グループへ連絡し交渉を開始するよう圧力をかけています。
「この新しいキャンペーンの主な指標は、恐喝メールそのものと、Clopのデータリークサイトに関連付けられたメールアドレスの使用です」とスターク氏は述べました。「現時点では、成功したデータ侵害やこの特定のキャンペーンに関連する特定のマルウェアファミリーの証拠はありません。」
調査員たちは、攻撃者がどのようにしてオラクルのE-Business Suiteにアクセスしたのか、またオラクルの顧客がどの程度影響を受けているのかを確認するため、夜を徹して調査を進めています。
翻訳元: https://cyberscoop.com/clop-claims-oracle-customers-data-theft/
