概要

Oracle E-Business Suiteの顧客を標的としたハッキングキャンペーンが、早くも7月には始まっていた可能性があることが、Google Threat Intelligence Group (GTIG) の報告により明らかになりました。この攻撃には、悪名高いClopランサムウェアグループが関与しているとされています。

攻撃の詳細

攻撃者は、一連の脆弱性を連鎖的に悪用し、さらにゼロデイ脆弱性も利用して、認証なしでリモートコード実行を達成しました。これにより、大量のデータが窃取されたとのことです。特定された脆弱性「CVE-2025-61882」は、認証されていない攻撃者がネットワークアクセスを通じてOracle E-Business SuiteのOracle Concurrent Processingを乗っ取ることが可能になるものです。

GTIGの研究者によると、このキャンペーンでは高度で多段階のマルウェアが使用されており、ファイルレスであるためファイルベースの検出システムを回避していました。この攻撃の洗練度は、ハッカーが攻撃計画にかなりの時間とリソースを費やしたことを示唆しています。

脆弱性と影響

• データ窃取は8月に遡ることが確認されていますが、潜在的な悪用活動の初期兆候は7月10日に始まっていました。これは、Oracleがユーザーにダウンロードを促した7月のパッチよりも前のことです。
• watchTowrの研究者は、月曜日にエクスプロイトチェーンの完全な分析を公開し、「5つの異なるバグが連携して」認証前のリモートコード実行を可能にしていることを示しました。
• Oracleは10月4日に緊急パッチをリリースし、ユーザーにシステムの即時更新を強く求めました。
• Shadowserverの研究者は、火曜日にゼロデイに基づいて576の潜在的に脆弱なIPアドレスを示すデータを公開しました。
• GTIGのチーフアナリストであるJohn Hultquist氏は、「今回のインシデントの範囲はまだ評価中ですが、数十の組織に影響を与えたと考えています。過去のClopによるデータ恐喝キャンペーンでは、数百の被害者が出ています」と述べています。
• Hultquist氏は、ゼロデイの大規模な悪用がハッキングキャンペーンにおいて常態化していると指摘しています。

Clopランサムウェアグループの背景

Clopグループは、2023年にMOVEitファイル転送ソフトウェアの脆弱性を悪用した大規模な攻撃で国際的にその名を知られるようになりました。また、2024年後半にはCleoファイル転送ソフトウェアの脆弱性を悪用したハッキング活動にも関連しています。現在の恐喝キャンペーンは先週浮上し、Oracle E-Business Suiteを使用する多数の企業の幹部が、Clopを名乗るハッカーからの恐喝メールを受け取っています。

元記事: https://www.cybersecuritydive.com/news/oracle-e-business-suite-exploitation-july/802592/