サイバーセキュリティ企業CrowdStrikeによると、Clopランサムウェアグループは少なくとも8月初旬から、データ窃取攻撃において重大なOracle E-Business Suite(EBS)のゼロデイ脆弱性を悪用しています。
CVE-2025-61882として追跡され、Oracleによって週末に修正されたこの脆弱性は、Oracle EBSのConcurrent Processingコンポーネント内のBI Publisher Integrationに発見されました。これにより、認証されていない攻撃者が、ユーザーの操作を必要としない低難易度の攻撃で、未修正のシステム上でリモートコード実行を行うことが可能となります。
しかし、watchTowr Labsのセキュリティ研究者が、Scattered Lapsus$ Huntersサイバー犯罪グループによってオンラインにリークされた概念実証(PoC)エクスプロイトをリバースエンジニアリングしたところ(2025年5月のタイムスタンプ付き)、CVE-2025-61882は実際には脆弱性の連鎖であり、脅威アクターが認証なしで単一のHTTPリクエストを使ってリモートコード実行を行うことができることが判明しました。
月曜日、CrowdStrikeのアナリストは、Clopランサムウェアグループが8月初旬からゼロデイとしてCVE-2025-61882を悪用し、機密文書を窃取しているのを初めて発見したと報告し、他の脅威グループも攻撃に加わっている可能性があると付け加えました。
「CrowdStrike Intelligenceは、中程度の確信度でGRACEFUL SPIDERがこのキャンペーンに関与している可能性が高いと評価していますが、複数の脅威アクターがCVE-2025-61882を悪用した可能性を排除できません。最初に確認された悪用は2025年8月9日に発生しましたが、調査は継続中であり、この日付は変更される可能性があります」とCrowdStrikeは述べています。
「CrowdStrike Intelligenceはさらに、2025年10月3日の概念実証(POC)公開およびCVE-2025-61882のパッチリリースにより、特にOracle EBSに精通した脅威アクターが武器化されたPOCを作成し、インターネットに公開されたEBSアプリケーションに対して利用を試みることをほぼ確実に促すだろうと評価しています。」
MandiantおよびGoogle Threat Intelligence Group(GTIG)は先週BleepingComputerに対し、Clopが進行中の恐喝キャンペーンの一環として、複数企業の幹部にメールを送信し、彼らのOracle E-Business Suiteシステムから盗んだとされる機密データがオンラインに漏洩するのを防ぐために身代金を要求していると語りました。
木曜日、OracleはClopサイバー犯罪グループによる恐喝メールがCVE-2025-61882 Oracle EBS脆弱性に関連しているとし、顧客に対してこの積極的に悪用されている脆弱性の修正を最優先するよう強く促しました。
「Oracleは、お客様がこのセキュリティアラートで提供されたアップデートをできるだけ早く適用することを強く推奨します。Oracleは常に、お客様がサポート中のバージョンを使用し、すべてのセキュリティアラートおよびクリティカルパッチアップデートのセキュリティパッチを遅滞なく適用することを推奨しています」と警告しています。
Clop恐喝グループは、ゼロデイ脆弱性を悪用した大規模なデータ窃取キャンペーンを長年にわたり行っており、最近では1月に、Cleoのセキュアファイル転送ソフトウェアのゼロデイ脆弱性(CVE-2024-50623)を標的とした攻撃でファイルを窃取し、数十人の被害者から恐喝を行いました。
以前にもClopは、Accellion FTA、GoAnywhere MFT、MOVEit Transferなどのゼロデイを標的とした複数のデータ窃取キャンペーンに関与しており、後者では2,770以上の組織に影響を与えました。
米国国務省は現在、Clopのランサムウェア攻撃を外国政府と結びつける情報に対して1,000万ドルの報奨金を提供しています。
