TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

Google:ClopがOracle EBSの脆弱性を悪用し「大量のデータ」にアクセス

Clopランサムウェアグループは、少なくとも8月9日からOracle E-Business Suite(EBS)インスタンスを標的にし始め、Google Threat Intelligence Group(GTIG)とMandiantの新たな調査によると、「大量の」データを流出させることに成功したとみられています。

Clopランサムウェアと関係していると主張する個人またはグループが、9月29日以降、複数の組織の幹部に対して恐喝メールを送信している様子が観測されました。

Googleは、この恐喝キャンペーンが脅威アクターによる数か月にわたる侵入活動に続いており、ゼロデイ脆弱性CVE-2025-61882の悪用はパッチが提供される前から始まっていたと指摘しています。

Clopの活動との類似点と重複

10月9日に公開されたGTIGの分析では、Clop(FIN11としても追跡されている)が恐喝キャンペーンの背後にいることを示す複数の指標が強調されています。

幹部宛てに送信された恐喝メールに記載されている連絡先アドレス([email protected]および[email protected])は、少なくとも2025年5月からClopのデータリークサイト(DLS)に掲載されています。

脅威アクターは自らの主張を裏付けるために、被害者のEBS環境から取得した正規のファイルリストを、2025年8月中旬に遡るデータとともに複数の組織に提供しています。

Extortion email sent to victim executives. Source: GTIG
被害者の幹部に送信された恐喝メール。出典:GTIG

「現時点で、GTIGはこのキャンペーンの被害者がClop DLSに掲載されているのを確認していません。これはClopブランドが関与する過去のキャンペーンと一致しており、アクターは通常、被害者データを公開するまでに数週間待つ傾向があります」と研究者らは述べています。

さらに、Oracle EBSキャンペーンの被害者の大半は、マネージドファイル転送(MFT)システムの悪用に起因するデータ窃取恐喝事件と関連しているようです。こうした悪用はClopおよびClopと疑われる脅威クラスターに頻繁に帰属されています。

キャンペーンで使用されたポストエクスプロイトツールも、別のClopと疑われるキャンペーンで使われたマルウェアと「論理的な類似性」を示しています。

これには、メモリ上で動作するJavaベースのローダーGOLDVEIN.JAVAを使用して、第二段階のペイロードを取得する手法が含まれます。

この手法は、2024年後半に発生したCleo MFTの脆弱性をClopが悪用したと疑われる事例と類似しており、GOLDVEINダウンローダーとGOLDTOMBバックドアの展開が含まれていました。

「しかし、ClopランサムウェアやClop DLSがFIN11だけによって独占的に使用されているわけではないという証拠も観測しており、この要素だけで帰属を断定することはできません」とGTIGは付け加えています。

Oracle EBSキャンペーンの経緯

このキャンペーンは、2025年7月10日まで遡るEBS顧客環境を標的とした数か月にわたる侵入活動の後に発生しました。

GTIGはこの初期活動の正確な内容を確認できませんでしたが、これはOracle EBSサーバーの早期の悪用試行であった可能性が高いとしています。

Oracleが2025年7月にEBSに影響する9件の脆弱性を修正するクリティカルパッチアップデートをリリースした後、Mandiantはより明確な悪用の試みを観測しました。GTIGは、両方の活動が同一の脅威アクターによるものかどうかは確認できないと述べています。

Oracleは10月2日、7月のクリティカルパッチアップデートで修正された未適用の脆弱性をハッカーが悪用していると顧客に警告しました。

その後、脅威アクターは2025年8月9日までにOracle EBS顧客に対してゼロデイCVE-2025-61882の悪用を開始し、パッチが提供される数週間前から攻撃が行われていました。

CVE-2025-61882は、Oracle EBSバージョン12.2.3~12.2.14に影響する認証不要のリモートコード実行(RCE)の脆弱性です。この脆弱性に対する緊急パッチは、10月4日にOracleによってリリースされました。

GTIGは、パッチを適用したOracle EBSサーバーは既知の悪用チェーンに対してもはや脆弱ではない可能性が高いと評価しています。

Oracle EBS顧客向けのセキュリティ推奨事項

GTIGは、組織がOracle EBS環境への脅威に対処するための複数のアクションを提示しています。

  • 10月4日にリリースされたOracle EBSパッチの適用を最優先する
  • 脅威アクターがペイロードをEBSデータベース内に直接保存するため、不審なテンプレートを探索する
  • EBSサーバーからインターネットへの不要なアウトバウンド通信をすべて遮断する。これにより、サーバーが侵害されても攻撃チェーンを妨害できる
  • 侵害の兆候を検出するためにネットワークログを監視・分析する
  • EBSアプリケーションに関連するJavaプロセスのメモリフォレンジックを活用し、ディスク上に存在しない悪意のあるコードやアーティファクトを特定する

画像クレジット:Stefan_Sutka / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/google-clop-data-oracle-exploit/

ソース: infosecurity-magazine.com
#2025年サイバー攻撃 #AIマルウェア #Clopランサムウェア #CVE-2025-61882 #Google Threat Intelligence Group #Oracle E-Business Suite #PoCエクスプロイト #ゼロデイ脆弱性 #データ窃取 #パッチ適用

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新