概要
MandiantとGoogleは、Oracle E-Business Suiteシステムからの機密データ窃取を主張する新たな恐喝キャンペーンを追跡しています。このキャンペーンでは、複数の企業の幹部が、データが盗まれたと主張するメールを受け取っています。
キャンペーンの詳細とMandiantの分析
GTIGのサイバー犯罪・情報作戦インテリジェンス分析責任者であるGenevieve Stark氏によると、この活動は2025年9月29日以前に開始されました。MandiantのCTOであるCharles Carmakal氏(Google Cloud)は、恐喝メールが多数の侵害されたメールアカウントから送信されていると述べています。初期分析では、これらのアカウントの少なくとも1つが、以前にランサムウェアを展開し恐喝に関与することで知られる金銭目的の脅威グループであるFIN11の活動に関連していたことが確認されています。
MandiantとGTIGの報告によると、メールにはClopランサムウェアグループのデータ漏洩サイトに記載されている連絡先アドレスが含まれており、恐喝グループとの関連性が示唆されています。しかし、Carmakal氏は、戦術はClopの過去の恐喝キャンペーンに類似しており、メールアドレスが潜在的な関連性を示しているものの、データが実際に窃取されたという十分な証拠はまだないと強調しています。
MandiantとGTIGは、これらのメールを受け取った組織に対し、Oracle E-Business Suiteプラットフォームにおける異常なアクセスや侵害がないか、自社の環境を調査することを推奨しています。
Clop恐喝グループとは
Clopランサムウェアオペレーションは、TA505、Cl0p、FIN11としても追跡されており、2019年3月にCryptoMixランサムウェアの亜種を用いて企業ネットワークを標的に活動を開始しました。他のランサムウェアグループと同様に、Clopのメンバーは企業ネットワークに侵入し、データを窃取し、その後システムを暗号化するためにランサムウェアを展開します。窃取されたデータと暗号化されたファイルは、復号化と窃取されたデータの漏洩阻止と引き換えに、企業に身代金要求を強制するための手段として利用されます。
このグループは現在もランサムウェアを展開することで知られていますが、2020年以降は、セキュアファイル転送プラットフォームのゼロデイ脆弱性を悪用してデータを窃取する手法に移行しています。
Clopの主な攻撃事例
- 2020年: Accellion FTAプラットフォームのゼロデイ脆弱性を悪用し、約100組織に影響を与えました。
- 2021年: SolarWinds Serv-U FTPソフトウェアのゼロデイ脆弱性を悪用しました。
- 2023年: GoAnywhere MFTプラットフォームのゼロデイ脆弱性を悪用し、100社以上が侵害されました。
- 2023年: MOVEit Transfer攻撃は、ゼロデイエクスプロイトにより世界中の2,773組織からデータが窃取された、これまでの最大のキャンペーンです。
- 2024年10月: Cleoファイル転送の2つのゼロデイ脆弱性(CVE-2024-50623およびCVE-2024-55956)を悪用し、データを窃取し企業を恐喝しました。
その他の情報
米国国務省は、Clopのランサムウェア活動と外国政府との関連に関する情報に対し、Rewards for Justiceプログラムを通じて1,000万ドルの報奨金を提供しています。