TokyoBlackHatNews

securityweek.com 4分で読了

Oracle EBSゼロデイ攻撃で高度なマルウェアが展開

Google Threat Intelligence Group(GTIG)とMandiantは、最近のOracle E-Business Suite(EBS)を標的とした恐喝キャンペーンを引き続き分析しており、攻撃で使用された一部のマルウェアを特定しました。

この攻撃は10月2日に明らかになり、GTIGとMandiantはOracle EBSを利用している多くの組織の幹部が恐喝メールを受け取ったと警告しました。その後の調査で、ハッカーは7月に修正された既知のEBS脆弱性を悪用した可能性が高く、さらにCVE-2025-61882として追跡されているゼロデイ脆弱性も利用されたとみられています。

ハッカーグループShinyHuntersとScattered Spider(現在はScattered LAPSUS$ Huntersと名乗る)は、CVE-2025-61882を標的としたとみられる概念実証(PoC)エクスプロイトを公開しましたが、他にどのCVEがエクスプロイトチェーンに関与しているかは依然として不明です。なお、OracleによればCVE-2025-61882単体でも認証なしでリモートコード実行が可能です。

CrowdStrikeは、CVE-2025-61882の悪用が8月9日から始まっていた証拠を発見しました。GTIGとMandiantが木曜日に公開したブログ記事によると、Oracleが7月のパッチを公開する直前の7月10日にも不審な活動が確認されていたことが明らかになっています。

GTIGとMandiantは決定的な証拠は得ていませんが、7月10日の活動はEBSサーバーを早期に悪用しようとした試みであった可能性が高いと述べています。

GTIGとMandiantの研究者は、Oracle EBSキャンペーンで使用されたエクスプロイトチェーンとマルウェアについても分析を行いました。

攻撃者は脆弱なOracle EBSデータベースに悪意のあるテンプレートを作成し、エクスプロイトチェーンの最終段階でトリガーされるペイロードを保存していました。

悪意のあるテンプレートでは2種類のペイロードが確認されています。そのうちの1つはGoogleがGoldVein.Javaとして追跡しているダウンローダーで、C&Cサーバーから第2段階のペイロードを取得しようとします。しかし、同社の研究者はこの第2段階のペイロードを入手できていません。

悪意のあるテンプレートを通じて配布された2つ目のペイロードは、実際には「複数のJavaペイロードによる入れ子状のチェーン」です。SageGiftというローダーがSageLeafというドロッパーを読み込み、さらにSageLeafがSageWaveというJavaサーブレットフィルターをインストールし、脅威アクターが最終ペイロードを展開できるようにします。こちらも最終ペイロードは研究者によって取得されていません。

GoldVein、SageGift、SageLeaf、SageWaveはいずれも、高度な多段階型でファイルレスなマルウェアであり、ファイルベースの検知を回避できると説明されています。

Cl0pの名前は被害者に送られた恐喝メールで使用されています(おそらくCl0pの評判によるもの)が、GTIGとMandiantは、恐喝メールの送信に使われた侵害されたメールアカウントから、すぐにFIN11として追跡されるサイバー犯罪グループとの関連を発見しました。

GTIGは、攻撃を特定の脅威グループに帰属させてはいないものの、FIN11とのさらなる関連を発見したと指摘しています。FIN11には複数の活動クラスターがあるようです。FIN11との関連には、ハッカーがCl0pランサムウェアを使用していることや、今回の攻撃で使われたマルウェアが以前FIN11と関連付けられたマルウェアと類似していることが挙げられます。

PoCエクスプロイトが流出しているものの、Scattered LAPSUS$ HuntersのハッカーがOracleキャンペーンに関与していた証拠はありません。

Googleの研究者は、数十の組織が被害を受けていると考えており、ハッカーが一部の被害者から大量のデータを盗み出すことに成功したと指摘しています。

これは驚くべきことではありません。というのも、過去にFIN11やCl0pと関連付けられた大規模キャンペーンでは、CleoMOVEitFortraAccellionのファイル転送製品がゼロデイ脆弱性を通じて標的となり、数百の組織から大量の情報が盗まれたケースもあったからです。

Cl0pのリークサイトには現在、Oracle EBSキャンペーンの被害者が身代金を支払わなければ間もなく名前が公開されるという趣旨のメッセージが表示されています。しかし、これまでのCl0p恐喝キャンペーンと同様、被害者の名前が公開されるまでには数週間かかる可能性があります。

翻訳元: https://www.securityweek.com/sophisticated-malware-deployed-in-oracle-ebs-zero-day-attacks/

ソース: securityweek.com
#.NET malware #African Cybercrime #Cl0p Ransomware #CVE-2025-61882 #cyber threat intelligence #Extortion Campaign #Fileless Malware #FIN11 #Oracle E-Business Suite #Zero-day Vulnerability

関連記事

トランプ大統領、最先端AIモデルの国家安全保障リスク審査を求める大統領令に署名

サイバーセキュリティの深刻化する危機に関する2つの新レポート、異なる見解を提示

スクープ:たった1行のコードが、Microsoft Androidアプリ数十億ダウンロードをリスクにさらした経緯