概要

Google Threat Intelligence Group（GTIG）とKrollのセキュリティ研究者によると、悪名高いClopランサムウェアグループとの関連を主張する脅威アクターが、企業幹部を標的としたメールベースの恐喝キャンペーンを展開しています。ハッカーは侵害されたOracle E-Business Suiteアプリケーションから盗んだデータを保有していると主張し、様々な企業幹部に金銭を要求しています。研究者らはデータ侵害の主張を裏付けることはできていませんが、Clopと以前から関連のある、金銭目的の脅威グループFIN11との重要なつながりを確認しています。

脅迫キャンペーンの詳細

GTIGのインシデント対応部門であるMandiant ConsultingのCTO、チャールズ・カーマカル氏はCybersecurity Diveに対し、電子メールで「現在、数百の侵害されたアカウントから発信される大量のメールキャンペーンを観測しており、初期分析により、これらのアカウントの少なくとも1つが以前からFIN11の活動と関連していたことが確認されています」と述べています。ハッカーからの恐喝メールには、標的となった幹部が脅迫要求に返信する2つの連絡先メールアドレスが含まれており、研究者らはこれらのアドレスがClopのデータ漏洩サイトに公開されていることを確認しています。恐喝要求は今週月曜日に始まりました。

Clopグループの背景と過去の活動

Clopは、2023年のMOVEitファイル転送の脆弱性に対する大規模な悪用で最も広く知られています。最近では、2024年後半にCleoファイル転送ソフトウェアの欠陥の悪用にも関与しました。GTIGのサイバー犯罪・情報作戦インテリジェンス分析責任者であるジュヌヴィエーヴ・スターク氏がCybersecurity Diveに語ったところによると、Clopサイトの最新の更新は2025年7月ですが、最も重要な最近の更新は2月と3月で、ClopはCleo関連攻撃の被害者とされる企業名を公表しました。以前、レンタカー会社Hertzやシリアル会社WK Kelloggを含む一連の大企業が、Cleoの脆弱性に関連するデータ侵害を確認しています。

影響と今後の展望

Oracleはコメントの要請に応じていません。

元記事: https://www.cybersecuritydive.com/news/hackers-clop-extortion-campaign-executives/801808/