最近発生したOracle E-Business Suiteの顧客を標的としたデータ窃取および恐喝キャンペーンは、悪名高いCl0pランサムウェアグループによるものであることが確認され、Oracleはハッカーがゼロデイ脆弱性を悪用したことを認めました。
Oracle E-Business Suite(EBS)の顧客を標的とした攻撃は先週明らかになりました。Google Threat Intelligence Group(GTIG)とMandiantが、エンタープライズリソースプランニング製品を使用している多くの組織の幹部が恐喝メールを受け取ったと警告したのです。
これらのメールは、Cl0pグループから送信されたように見え、受信者に対してOracle EBSインスタンスから機密データが盗まれたことを伝え、サイバー犯罪者に連絡を取るよう促していました。
GTIGとMandiantの研究者は、これらのメールが以前FIN11サイバー犯罪グループに関連付けられていた侵害済みアカウントから送信されていたことを突き止めましたが、当初はCl0pが攻撃の背後にいることを確認できませんでした。しかし、研究者らは現在、Cl0pが実際に関与していることを確認しています。
Cl0pは過去にも、Cleo、MOVEit、Fortraなどのファイル転送製品をゼロデイ脆弱性の悪用によって標的とした、同様のキャンペーンを複数実施しているため、これは驚くことではありません。
MandiantのCTOであるチャールズ・カーマカル氏は、ハッカーが8月にEBS顧客からデータを窃取し、9月下旬から恐喝メールの送信を開始したと説明しています。
Oracleは当初、最近のEBSデータ窃取キャンペーンは7月に修正された未特定の脆弱性の悪用が関与していると述べていましたが、ソフトウェア大手のCSOであるRob Duhart氏は土曜日に、ゼロデイ脆弱性も攻撃者によって利用されたことを認めました。
このゼロデイ脆弱性はCVE-2025-61882として追跡されており、認証されていない攻撃者によるリモートコード実行が可能です。
広告。スクロールして続きを読む。
この脆弱性はOracle E-Business Suiteバージョン12.2.3~12.2.14に影響し、CVSSスコア9.8の「クリティカル」な深刻度評価が付与されています。このセキュリティホールは、Oracle Concurrent ProcessingのBI Publishing Integrationコンポーネントに影響します。
Oracleはパッチをリリースし、顧客が潜在的な攻撃を検知するために利用できる侵害の兆候(IoC)を共有しています。
Mandiantは、Cl0pの攻撃が7月に修正された脆弱性およびCVE-2025-61882の両方を悪用したことを確認しています。
他の脅威アクターも、今回のキャンペーンで悪用された脆弱性を自らの武器に加えることが予想されます。
「すでに広範囲にわたるゼロデイの悪用が発生しており(今後も他のアクターによるnデイの悪用が続く可能性が高いことから)、パッチを適用するタイミングにかかわらず、組織はすでに侵害されていないかを確認すべきです」とカーマカル氏は警告しています。
最近引退を発表したものの依然として活動を続けているサイバー犯罪グループScattered SpiderとShinyHuntersも、Oracle攻撃に関与している可能性があります。ハッカーは新たなTelegramチャンネルを作成し、今回の攻撃で使用されたとみられるEBSエクスプロイトを投稿しました。
翻訳元: https://www.securityweek.com/oracle-e-business-suite-zero-day-exploited-in-cl0p-attacks/
