TokyoBlackHatNews

cyberscoop.com 4分で読了

Oracleのゼロデイ脆弱性がClopによるデータ窃取攻撃の拡大でパニックを増幅

連邦サイバー当局や脅威ハンターたちは、Oracleが土曜日に公開した、Clopランサムウェアグループが先週研究者によって最初に警告された広範なデータ窃取および恐喝キャンペーンを開始するために利用した、現在悪用されているゼロデイ脆弱性の開示を受けて警戒を強めています。

Oracleは、Oracle E-Business Suiteに影響を及ぼす重大な脆弱性 — CVE-2025-61882 — に対処し、土曜日にセキュリティアドバイザリを発表、顧客にできるだけ早くパッチを適用するよう勧告しました。同社は以前、一部の顧客が恐喝メールを受け取っていることを認識していると述べ、7月のセキュリティアップデートで対処した脆弱性が関与している可能性があると述べていました。

Oracle Securityの最高セキュリティ責任者であるRob Duhart氏は、土曜日に自身のブログ投稿を更新し、顧客にゼロデイ脆弱性について警告しました。Oracleはゼロデイが実際に悪用されているとは述べていませんが、侵害の兆候を提供しており、これは間接的に脆弱性が実際に悪用されていることを裏付けています。

サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は月曜日、CVE-2025-61882既知の悪用脆弱性カタログに追加し、ランサムウェアキャンペーンで使用されていることを指摘しました。

FBIサイバー部門の副部長であるBrett Leatherman氏は、このゼロデイを「Oracle E-Business Suite環境を完全に侵害するリスクにさらす緊急事態」と表現しました。

「Oracle E-Business Suiteは依然として大企業や公共部門の基幹業務システムであり、攻撃者がこの脆弱性を迅速に武器化する動機は十分にあります」と彼はLinkedIn投稿で述べています。

ゼロデイだけがOracleとその顧客を悩ませている問題ではありません。Mandiant ConsultingのCTOであるCharles Carmakal氏によると、Clopは8月に複数の脆弱性(ゼロデイを含む)を悪用し、複数の被害者から大量のデータを盗み出しました。

watchTowrの研究者は、概念実証後に完全なエクスプロイトチェーンを再現し、攻撃者がどのように複数の脆弱性を連鎖させたかを示すフローチャートを公開しました。

「このチェーンは高度なスキルと努力を示しており、少なくとも5つの異なるバグが連携して、認証前のリモートコード実行を実現しています」とwatchTowrの研究者は月曜日のブログ投稿で述べています。同社は、このキャンペーンに関連してOracle E-Business Suiteでさらに多くの脆弱性が発見される可能性が高いとしています。

CVSSスコア9.8のこのゼロデイ脆弱性は、認証なしでリモートから悪用可能であり、リモートコード実行を引き起こします。

攻撃が発生した時期とOracleによるゼロデイ脆弱性の開示との間に大きなタイムラグがあることから、Clopは数か月にわたりOracle E-Business Suiteの顧客環境に侵入し、データを盗み出していたことが示唆されます。研究者たちは、被害組織の幹部が支払いを要求する恐喝メールを受け取るまで、攻撃の存在に気付いていませんでした。

CrowdStrikeの研究者によると、最初に確認された悪用は8月9日であり、Oracleがゼロデイ脆弱性を開示・修正する8週間前のことでした。

Clopの攻撃によって影響を受けた組織の数は依然として不明ですが、研究者たちは複数の業界や地域にわたる被害者を特定しています。Halcyonによると、Clopの身代金要求額は最大5,000万ドルに達しています。

「これまでに7桁や8桁の要求を確認しています」と、Halcyonのランサムウェア研究センター上級副社長のCynthia Kaiser氏はCyberScoopに語りました。

「このグループは、身代金交渉での優位性を高めるため、巧妙かつ大規模なデータ窃取で悪名高いです」と彼女は述べています。

Clopは複数のテクノロジーベンダーのシステムへの侵入に成功し、多くの下流顧客のデータを盗み出してきたランサムウェアグループです。この脅威グループは、ファイル転送サービスの脆弱性を悪用した大規模攻撃を得意としています。

Clopは2023年にMOVEit環境に侵入し、最終的に2,300以上の組織のデータを流出させ、その年最大かつ最も重大なサイバー攻撃となりました。

Kaiser氏によれば、このグループはロシアと連携したサイバー犯罪環境下で活動しており、利益を動機としています。「Clopの活動は、金銭的価値を引き出すと同時に、データ収集、混乱、標的組織への圧力など、国家関係者に有用な成果も生み出すことができます。」

翻訳元: https://cyberscoop.com/oracle-zero-day-clop/

ソース: cyberscoop.com
#AI in Cybersecurity #Browser Data Theft #Clop ransomware #cloud-native extortion #CVE-2025-61882 #Oracle Cloud #Oracle E-Business Suite #Ransomware Attacks #RCE (Remote Code Execution) #Zero-day Vulnerability

関連記事

国防総省、全作戦へのサイバー統合とAIセキュリティの組み込みを推進

トランプ政権、縮小版のAI大統領令を発令

AnthropicがProject Glasswingへのアクセスを拡大