Clopランサムウェアグループの脅威の拡大
Clopランサムウェアグループは、世界中の企業組織にとって依然として重大な脅威であり続けています。最近の分析により、彼らがOracle E-Business Suiteの重大なゼロデイ脆弱性を悪用していることが明らかになりました。
2019年初頭から活動しているClopは、最も多産で洗練されたランサムウェアグループの一つとしての地位を確立しており、その発足以来、1,025を超える組織を標的にし、5億ドル以上の身代金を強奪しています。このグループは2016年に出現したCryptoMixランサムウェアの亜種であると考えられており、独立国家共同体(CIS)諸国を意図的に標的にしないことから、ロシアに起源を持つと疑われています。「Clop」という名称は、攻撃成功後に暗号化されたファイルに付加される特徴的なファイル拡張子(.cl0p)に由来し、ロシア語で「トコジラミ」を意味します。
この脅威アクターを同時代の他のグループと区別する特徴は、最先端のゼロデイ脆弱性を一貫して悪用している点であり、これはグループの技術的洗練度と情報収集能力を浮き彫りにしています。
Oracle E-Business Suiteのゼロデイ脆弱性悪用
最近の脅威インテリジェンス分析により、Oracle E-Business Suiteにおける重大なゼロデイ脆弱性が発見されました。この脆弱性は2025年6月に最初に特定され、Oracleは2025年10月に公式に侵害指標(IOC)を公開しています。CVE-2025-61882として分類されるこの脆弱性は、攻撃者が影響を受ける組織全体の注文管理、調達、ロジスティクス業務を担う統合エンタープライズリソースプランニング(ERP)システムを侵害することを可能にします。
調査は、Oracleが共有した2つの発信元IPアドレス(185.181.60.11 (ASN: AS56655, Gigahost) と 200.107.207.26 (ASN: AS273045, DATAHOME S.A))から始まりました。ShodanやFOFAを含むインターネットスキャナーを用いたさらなる偵察により、エルサルバドルのIPに関連するネットワークフィンガープリントが特定され、これは96の追加IPアドレスと相関していました。地理的分析では、ドイツが16のIPで最も多く、次いでブラジルが13、パナマが12でした。ロシアはわずか3つのIPでリストの最下位に位置しており、これは組織がロシアの自律システム番号(ASN)をブロックする傾向が強まる中での意図的なインフラ多様化戦略を示唆しています。
過去のキャンペーンとの関連性
詳細な分析中に、研究者が現在のエクスプロイトインフラを、CISAの公式報告書に記載されている2023年のMOVit脆弱性悪用(CVE-2023-34362)に関する過去のIOCと相互参照した際に、重要な進展がありました。具体的には、特定された96のサブネットIPのうち41が、以前のMOVitキャンペーン中に使用されており、現在のClopの活動と過去の活動との間に高い信頼性のある関連性が確立されました。
重複するサブネット分析により、Clopが2023年1月から現在までの複数のエクスプロイトキャンペーンを通じて永続的なインフラパターンを維持していることが明らかになりました。MOVitエクスプロイトクラスターと、その後のFortra GoAnywhereコマンドインジェクション脆弱性(CVE-2023-0669)の両方からのデータを組み合わせることで、研究者は2023年の両方のインシデントで正確に一致する37の高信頼性IPアドレスを特定しました。これらのIPの59.5%は米国に、13.5%はカナダに、8.1%はオランダに地理的に位置しています。
SSL証明書フィンガープリント分析は、インフラの継続性を確立する上で極めて重要でした。Oracle EBSの悪用に関連するフィンガープリント「bd613b3be57f18c3bceb0aaf86a28ad8b6df7f9bccacf58044f1068d1787f8a5」は、2023年のMOVit作戦中に以前に文書化されたフィンガープリントと一致し、現在の攻撃と過去のキャンペーンを直接結びつけています。複数のフィンガープリントにわたるサブネット分析では、特定されたサブネットの77.8%が再利用パターンを示し、5.188.86/24サブネットは複数の悪用インシデントで14回出現しました。
Clopの攻撃手法と今後の課題
これらの調査結果は、Clopが検出努力の強化にもかかわらず永続的なインフラに依存していることを強調しており、グループが意図的に分割されたネットワークセグメントを通じて運用継続性を維持しつつ、地域的なブロック措置を回避するために地理的分布を段階的にシフトしていることを示唆しています。