概要
Oracle E-Business Suiteの顧客を標的としたハッキングキャンペーンが、早ければ7月には始まっていた可能性が指摘されています。Google Threat Intelligence Group (GTIG) が木曜日に発表した報告によると、ハッカーはソフトウェアの脆弱性を連鎖的に悪用していました。
攻撃の詳細
悪名高いClopランサムウェアグループに関連する攻撃者は、一連の脆弱性とゼロデイ脆弱性(CVE-2025-61882)を組み合わせ、認証なしでリモートコード実行を可能にし、大量のデータを窃取しました。この脆弱性は、ネットワークアクセスを持つ認証されていない攻撃者がOracle E-Business SuiteのOracle Concurrent Processing部分を乗っ取ることを可能にします。
GTIGの研究者によると、このキャンペーンには高度な多段階マルウェアが関与しており、ファイルレスであるため、ファイルベースの検出システムを回避できました。このキャンペーンの高度さは、ハッカーが攻撃の計画にかなりの時間とリソースを費やしたことを示しています。
GTIGの主任アナリストであるジョン・ハルトクイスト氏は、「事件の範囲はまだ評価中ですが、数十の組織に影響を与えたと考えています。過去のClopによるデータ恐喝キャンペーンでは、数百の被害者が出たこともあります」と述べています。
攻撃のタイムラインと対応
Mandiant ConsultingのCTOであるチャールズ・カルマカル氏のLinkedIn投稿によると、データ窃取は8月に遡り、潜在的な悪用活動の最も早い兆候は7月10日に始まりました。これは、Oracleがユーザーにダウンロードを促した7月のパッチよりも前のことです。
watchTowrの研究者は月曜日に、「5つの異なるバグが連携して」認証前のリモートコード実行を可能にするエクスプロイトチェーンの完全な分析を公開しました。Oracleは10月4日に緊急パッチをリリースし、ユーザーにシステムを直ちに更新するよう促しました。
Shadowserverの研究者は火曜日に、ゼロデイに基づいて576の潜在的に脆弱なIPアドレスを示すデータを公開しました。Mandiantの研究者は、小売業者などに対するソーシャルエンジニアリング攻撃に関与しているとされるScattered Lapsus$ Huntersが10月3日に投稿した流出したエクスプロイトコードとの重複を発見しました。
関連する攻撃グループと過去の事例
Scattered Lapsus$ Huntersは、最近のジャガー・ランドローバーの生産を混乱させた攻撃についても犯行声明を出しています。しかし、研究者らは、7月の活動がそのエクスプロイトに関与していたか、または初期のOracle活動とShinyHuntersとの間に直接的な関連があるかを現時点では評価できないと述べています。
ハルトクイスト氏は、ゼロデイの大規模な悪用がハッキングキャンペーンで常態化していると指摘しています。Clopは、2023年にMOVEitファイル転送ソフトウェアの脆弱性の大規模な悪用に関連して国際的に注目を集めました。また、2024年後半にCleoファイル転送ソフトウェアの欠陥を悪用したハッキングの波にも関連していました。
現在の恐喝キャンペーンは先週浮上し、Oracle E-Business Suiteを使用する多数の企業の幹部が、Clopを名乗るハッカーからの恐喝メールを受け取りました。
元記事: https://www.cybersecuritydive.com/news/oracle-e-business-suite-exploitation-july/802592/