悪名高いランサムウェアグループ「Clop」は、3か月前からOracle E-Business Suiteの顧客を標的にし、企業向けプラットフォームに影響を与えるゼロデイ脆弱性を悪用して、8月9日には被害者から大量のデータを窃取し始めていたと、Google Threat Intelligence GroupおよびMandiantが木曜日のレポートで発表しました。
「このインシデントの範囲についてはまだ評価中ですが、数十の組織が影響を受けたと考えています。過去のClopによるデータ恐喝キャンペーンでは、被害者が数百社に及んだこともあります」と、GTIGのチーフアナリストであるJohn Hultquist氏は声明で述べています。「残念ながら、このような大規模なゼロデイキャンペーンはサイバー犯罪の常態化しつつあります。」
Googleのインシデント対応会社およびセキュリティ研究者による新たなタイムラインは、Oracle E-Business Suiteの顧客に対する悪意ある活動が、Clopが被害組織の幹部に恐喝メールを送信した9月29日よりも約3か月前から始まっていたことを裏付けています。
Oracleは、重大なゼロデイ脆弱性CVE-2025-61882を土曜日に公開しました。これは、同社が7月のセキュリティアップデートで特定し対応した脆弱性の悪用後、顧客が恐喝メールを受け取ったと発表してから2日後のことです。
実際には、この大規模な攻撃活動にはゼロデイを含む少なくとも5つの異なる欠陥が関与しており、これらが連鎖して認証前のリモートコード実行を実現していたと、watchTowrの研究者が今週初めに述べています。
watchTowrの研究者は、概念実証を入手した後、完全なエクスプロイトチェーンを再現し、攻撃者が複数の脆弱性をどのように連鎖させたかを示すフローチャートを公開しました。
「現時点では、どの特定の脆弱性やエクスプロイトチェーンがCVE-2025-61882に該当するかは不明ですが、GTIGは10月4日にリリースされたパッチで更新されたOracle EBSサーバーは、既知のエクスプロイトチェーンにはもはや脆弱ではないと評価しています」とGoogleはレポートで述べています。
研究者らは、Oracleの7月のセキュリティアップデート以前に悪用を試みた可能性のある不審なトラフィックを特定しましたが、Googleはその活動の正確な性質を確認していません。
多くの顧客が依然として攻撃にさらされ、潜在的に脆弱な状態にあります。Shadowserverによるスキャンでは、10月6日時点でOracle E-Business Suiteの脆弱なインスタンスが576件見つかり、その大半のIPアドレスは米国に拠点を置いていました。
Clopの身代金要求額は最大5,000万ドルに達しているとHalcyonは報告しています。「これまでに7桁や8桁の要求を確認しています」と、Halcyonのランサムウェア研究センター上級副社長のCynthia Kaiser氏はCyberScoopに語りました。
Clopの活動に関する調査は、この脅威グループの巧妙な手口を浮き彫りにしており、ファイルベースの検知を回避するために設計された多段階のファイルレスマルウェアの使用も含まれています。他の重要な詳細は依然として不明であり、他のグループによる根拠のない主張が分析を複雑にしています。
Mandiantは、10月3日に「Scattered LAPSUS$ Hunters」と呼ばれるTelegramグループでリークされたエクスプロイトと重複するアーティファクトを観測したと述べています。しかし、Googleは2025年7月の悪意ある活動とこのエクスプロイトを明確に結びつける十分な証拠をまだ得ていません。
「現時点では、GTIGはUNC6240(別名“Shiny Hunters”)に関連するアクターがこのエクスプロイト活動に関与していたとは評価していません」とGoogleはレポートで述べています。
複数の証拠がClopが攻撃の背後にいることを示していますが、Googleは他の脅威グループが関与している可能性もあると述べています。
Clopは複数のテクノロジーベンダーのシステム、特にファイル転送サービスへの侵入に成功し、多くの下流顧客のデータを窃取してきました。この脅威グループは、2023年にMOVEit環境へ侵入することで大規模な悪用を達成し、最終的には2,300以上の組織のデータを流出させ、その年最大かつ最も重大なサイバー攻撃となりました。
翻訳元: https://cyberscoop.com/oracle-customers-attacks-clop-google-mandiant/
