研究者によると、Clopランサムウェアグループに関連する恐喝キャンペーンは、一連の連鎖した脆弱性と高度なマルウェアを使用していたという。
Oracle E-Business Suiteの顧客を標的としたハッキングキャンペーンは、ハッカーがソフトウェアの脆弱性を連鎖させ始めた7月にはすでに始まっていた可能性があると、レポート がGoogle Threat Intelligence Group(GTIG)によって木曜日に公開された。
悪名高いClopランサムウェアグループに関連する攻撃者は、ゼロデイ脆弱性を含む一連の欠陥を連鎖させ、認証なしでリモートコード実行を獲得した後、大量のデータを盗み出したと研究者は明らかにした。
この脆弱性はCVE-2025-61882として追跡されており、ネットワークアクセスを持つ認証されていない攻撃者がOracle E-Business SuiteのOracle Concurrent Processing部分を乗っ取ることを可能にする。
GTIGの研究者によると、このキャンペーンにはファイルレスの高度な多段階マルウェアが使用されており、ファイルベースの検出システムを回避できたという。このキャンペーンの高度さは、ハッカーが攻撃の計画に多大な時間とリソースを費やしたことを示している。
「私たちはまだインシデントの範囲を評価中ですが、数十の組織に影響が及んだと考えています」とGTIGのチーフアナリスト、ジョン・ハルトクイスト氏は声明で述べた。「過去のClopによるデータ恐喝キャンペーンでは、被害者が数百に及ぶこともありました。」
研究者はデータ窃取を8月にまで遡って追跡しており、最初の悪用活動の兆候は7月10日に始まったと、Mandiant ConsultingのCTOチャールズ・カーマカル氏がLinkedIn投稿で述べている。これはOracleがユーザーにダウンロードを促した7月のパッチよりも前のことである。
watchTowrの研究者は月曜日にエクスプロイトチェーンの完全な分析を公開し、「5つの異なるバグが連携して」認証前のリモートコード実行を可能にしていることを示した。
Oracleは10月4日に緊急パッチをリリースし、ユーザーに即時アップデートを呼びかけた。
Shadowserverの研究者は火曜日に、ゼロデイに基づき576の潜在的に脆弱なIPアドレスを示すデータを公開した。
Mandiantの研究者は、Scattered Lapsus$ Huntersによって10月3日に投稿されたリークされたエクスプロイトコードといくつかの重複を発見した。このグループは小売業者や他の企業に対する多数のソーシャルエンジニアリング攻撃に関連している。また、最近のJaguar Land Roverの生産を妨害した攻撃の犯行も主張している。
しかし、研究者は現時点で7月の活動がそのエクスプロイトに関与していたか、または初期のOracle活動とShinyHuntersとの直接的な関係があるかどうかを評価できていないと述べている。
ハルトクイスト氏は、ゼロデイの大規模な悪用がハッキングキャンペーンでますます常態化していると述べた。
Clopは2023年、MOVEitファイル転送ソフトウェアの脆弱性の大規模悪用に関連して国際的に注目を集めた。このグループはまた、Cleoファイル転送ソフトウェアの脆弱性を悪用した2024年後半からのハッキングの連続にも関連している。
現在の恐喝キャンペーンは先週、Oracle E-Business Suiteを利用する多数の企業の幹部がClopを名乗るハッカーから恐喝メールを受け取ったことで明らかになった。
翻訳元: https://www.cybersecuritydive.com/news/oracle-e-business-suite-exploitation-july/802592/
