Cl0pハッキンググループがマツダやキャノン、住友化学などへの侵害を主張しているということです。Oracle E-Business Suiteのゼロディ脆弱性を悪用した攻撃の一端のようです。
Oracle E-Business Suiteの脆弱性を悪用したキャンペーン
Oracle E-Business Suite(EBS)はオラクルが提供している統合的なERPパッケージで、財務や人事管理、サプライチェーン管理など企業の基幹業務を包括的に管理し、業務の自動化、効率化を支援します。EBSをめぐっては10月3日にオラクルが利用者に恐喝メールが届いていることを明らかにし、10月4日に脆弱性CVE-2025-61882に対するセキュリティアラートを発出、さらに脆弱性CVE-2025-61884のアラートも発出してユーザーに早急なアップデートを求めています。
CVE-2025-61882は認証なしでリモートからコードを実行できる脆弱性で、この脆弱性をめぐっては今年7月ころから不審な活動が確認されており、8月には悪用されていたようです。マンディアント、グーグル脅威インテリジェンスグループによるとCl0pとの関連を主張する脅威アクターによる大規模な恐喝キャンペーンが展開されており、この恐喝キャンペーンはEBSの顧客に対する侵害活動を数か月にわたって行った後に実行され、8月9日にはすでに攻撃が開始されていたということです。
オラクルは当初、今年7月の定例のアップデートで修正済みの既知の脆弱性が悪用されたとの認識を示していたようですが、7月のアップデートでは十分に修正されておらず、その結果、10月4日にセキュリティアラートを発出した経緯があるようです。9月29日以降、脅威アクターはアンダーグラウンドフォーラムで販売されていたとみられる第三者のメールアカウントから大量の恐喝メールを複数の企業幹部に送信したということです。このメールに連絡先として記載されているメールアドレスは少なくとも今年2月からCl0pのリークサイトに掲載されているものと同じだということです。
ランサムから恐喝ビジネスに転換か
ネットの情報によると、Cl0pのリークサイトには11月20日に新たに複数の企業が追加され、それら企業の中にはマツダやキャノン、住友化学の名前が見られるほかオラクルも掲載されているということです。いずれもOracle E-Business Suiteのゼロディ脆弱性を悪用したCl0pの脅威アクターによる攻撃が背景にあるとみられます。
Cl0pは2019年2月に発見された脅威で、大規模なスピアフィッシング攻撃を行ったことで知られるようになり、すべてのファイルを.cl0pという拡張子に変更して暗号化するランサムウェア攻撃を行ってきた脅威です。カスペルスキーによると、このランサムウェアはTA505と呼ばれるグループによって開発され、TA505はFIN11の下部組織か同一のグループだということです。Cl0pはこれまでランサムウェア攻撃とデータ窃取による恐喝を行う二重恐喝の脅威として認識されてきましたが、昨年のCleoのファイル転送ソフトのゼロディ脆弱性を悪用した攻撃ではランサムウェアではなくデータ窃取による恐喝のみが行われたことからCl0pの脅威グループがランサムウェアからサイバー恐喝にサイバー犯罪ビジネスを転換させたとの見方もあります。今回、EBSの脆弱性を悪用した攻撃ではScattered Lapsus$ Hunters(SLH)の影もちらついているようですので、この攻撃の背景に何があるのか関心がもたれるところです。
【出典】
https://www.vectra.ai/blog/cl0p-is-back-exploiting-supply-chains-again
https://www.kaspersky.co.jp/resource-center/definitions/cl0p-ransomware