Mandiantの研究者によると、Clopランサムウェアは盗まれたデータの公開を脅迫する一連のメールと確かに関連しているという。
先週初めからOracle E-Business Suiteの顧客を標的としたメールベースの恐喝キャンペーンが、ゼロデイ脆弱性に関連しているとセキュリティ研究者が日曜日に警告した。
このキャンペーンはClopランサムウェアに関連するハッカーによるもので、E-Business Suiteを利用する企業の幹部 を先週月曜日から標的にしている。Oracleは金曜日に公開したブログ記事で、顧客に対し、7月にリリースされた重要なパッチアップデートをダウンロードするよう促した。
Oracleはこのゼロデイに関するガイダンスを公開し、この脆弱性が認証なしで悪用される可能性があると警告した。
日曜日、Mandiantの研究者は、このキャンペーンにCVE-2025-61882として追跡されているゼロデイ脆弱性も関与していると警告した。この脆弱性は深刻度スコア9.8で、攻撃者がOracle Business SuiteのOracle Concurrent Processing部分を乗っ取ることを可能にする。
MandiantはOracleのセキュリティ研究者と協力して攻撃の調査を行った。
Clopは以前にも8月にOracle E-Business Suiteの複数の脆弱性を悪用し、このソフトウェアを利用する複数の組織から大量のデータを盗み出したと、Mandiant Consulting CTOのCharles Carmakal(Google Cloudの一部門)が述べている。
セキュリティ企業watchTowrの研究者によると、この攻撃は7月のパッチアップデートで公開された複数の脆弱性と、最近公開されたゼロデイを組み合わせているという。
「一見したところ、かなり複雑で手動で再現するには相当な労力が必要に見えました」とwatchTowrの主任セキュリティ研究者Jake Knott氏は述べた。「しかし、今や実際に動作するエクスプロイトコードが流出したことで、その参入障壁はなくなりました。」
Clopは世界で最も多産なランサムウェアグループの一つとされている。同グループは2023年のMOVEitファイル転送ソフトウェアの脆弱性大量悪用や、最近ではCleoファイル転送ソフトウェアの脆弱性悪用にも関与している。
watchTowrの研究者は、エクスプロイトコードが入手可能になったことで、複数のグループが今後この攻撃に参入すると予想している。
翻訳元: https://www.cybersecuritydive.com/news/extortion-campaign-oracle-e-business-suite-zero-day/802123/
