Clopランサムウェアとの関係を主張するハッカーが、7月のクリティカルパッチアップデートで公開された脆弱性を悪用している可能性があります。
Oracleは木曜日、同社のE-Business Suite顧客を標的とした恐喝メールの波について調査を進めていると発表しました。Oracleは、これらの攻撃が7月に公開されたソフトウェアの脆弱性に関連している可能性があることを認めました。
既報の通り、Clopランサムウェアに関連していると主張するハッカーたちが、Oracle製品を利用する企業の経営幹部に対して何百通ものメールを送り、データを盗んだと主張しています。
Oracleの最高セキュリティ責任者であるRob Duhart氏は、これらの攻撃が同社が7月に公開した重大な脆弱性に関連している可能性があると、同社のブログ記事で木曜日に述べました。
Duhart氏は、Oracleの顧客に対し、7月のアップデートを確認し、システムにパッチを適用して保護されていることを強く推奨しました。
Google Threat Intelligence Groupの研究者は木曜日、Clopとの関係を主張するハッカーが企業の経営幹部に対し恐喝をほのめかすメールを送っていると警告しましたが、実際にデータが盗まれたという即時的な証拠は示しませんでした。
GoogleとそのMandiantインシデント対応部門は、このグループをFIN11という名称で追跡しており、これはClopと強い歴史的なつながりを持つグループです。
恐喝メールには、経営幹部が要求に返信できる連絡用メールアドレスが記載されていました。これらのメールアドレスは、以前Clopが使用していたものと一致しています。この脅威グループは、2023年のMOVEitファイル転送ソフトウェアの脆弱性悪用で広く知られています。最近ではClopは、Cleoファイル転送ソフトウェアの脆弱性悪用にも関与し、小売業者やその他の物流企業に対する数十件の攻撃につながっています。
Krollの研究者はCybersecurity Diveに対し、ハッカーがOracleの顧客に対し、機密性の高いERPデータにアクセスしたと主張するスピアフィッシングメールを送っていると述べました。KrollはClopをKTA080という名称で追跡しています。
「Krollは、以前のKTA080(Cl0p)による身代金要求で使われた連絡用メールアドレスと一致する身代金要求メールを確認しています」と、Krollのデジタル・フォレンジックおよびインシデント対応グローバル責任者であるMax Henderson氏は述べています。
MandiantおよびKrollの研究者は、組織はこれらの要求を真剣に受け止め、システムにデータ窃取や侵害がないか確認すべきだと述べています。
