Oracle Database Scheduler の悪用:脅威アクターによるランサムウェア展開とネットワーク侵入

Threat Actors Exploit Oracle Database Scheduler to Infiltrate Corporate Networks

2025/09/22 gbhackers — Oracle Database Scheduler の外部ジョブ機能を悪用する脅威アクターが、企業のデータベース・サーバ上で任意のコマンドを実行している。それにより、ステルス性の高い初期攻撃の足掛かりが確立され、迅速な権限昇格を可能にする。攻撃者は “extjobo.exe” 実行ファイルを利用して、エンコードされた PowerShell コマンドの実行、Ngrok による暗号化トンネルの確立、ランサムウェアの展開を行い、強力なクリーンアップ・ルーチンにより検出を回避している。最近のインシデント対応で確認されたのは、SYS ユーザーとして繰り返し接続を試みる攻撃者が、公開されている Oracle Database インスタンスを標的としていたことだ。

Yarix が確認したのは、初回のログイン失敗では SYSDBA 句のない有効な資格情報を示すエラーコード 28009 が返され、その後に有効な SYSDBA 資格情報が取得されたことだ。検出されたエントリポイントは、データベース・サーバ上におけるアクティブな公開サービス Oracle DBS の機能であり、リモートからのコマンド実行を可能にしていた。

Evidence of an attempt to log in to Oracle DBS.
Evidence of an attempt to log in to Oracle DBS.

これらの権限を悪用する脅威アクターたちは、データベース・スケジューラの外部ジョブ・コンポーネント “extjobo.exe” を呼び出している。このコンポーネントの機能は、名前付きパイプをリッスンし、受信したコマンドをスケジューラ・サービスと同じ権限で実行する仕組みにある。

攻撃者は “extjobo.exe” を利用して、システム情報を収集する Base64 エンコード済み PowerShell スクリプトを作成/実行した。このスクリプトは、WSMan を呼び出してリモート・コマンドを実行し、C2 サーバ (80.94.95.227) から追加ペイロードをダウンロードしている。

これらのペイロードは連番 (例:tfod.cmd) で命名され、実行直後に削除されていたため、フォレンジック分析が困難だった。そこから示唆されるのは、オープンソースの GitHub プロジェクトから、Oracle スケジューラ悪用コードを流用する攻撃者が、侵害したサーバ上で TCP リバースシェルを生成するよう改変されていたことである。

暗号化トンネリングとラテラル・ムーブメント

初回のコード実行を可能にした侵入者は、オンプレミスのデータベース・サーバからインターネットへの RDP トラフィックをトンネリングするために Ngrok を導入している。攻撃者の認証トークンは “ngrok.yml” に書き込まれ、Ngrok が起動されたことで、暗号化チャネルを介した RDP ポート (3389) の公開が実現した。

その後に攻撃者は、ローカル・アカウント “Admin” を作成して権限を昇格させ、Ngrok トンネル経由で RDP 接続に成功した。また、以下の図に示すように、”C:\Users\Public\ngrok.exe パスに Ngrok 実行ファイルが作成され、”ngr.bat” との関連も確認された。

Evidence of the creation of the “ngrok.exe” file.
Evidence of the creation of the “ngrok.exe” file.

続いて権限昇格が行われ、Process Hacker (PT.exe に改名) が悪用され、タスク・マネージャを介したトークン操作により、ドメイン管理者アカウントが乗っ取られた。攻撃者は管理者ユーザーとしてネットワーク・ログオン (タイプ3) を実行し、データベース・サーバを完全に制御した。

権限昇格後のアクセスを確保した攻撃者は、PerfLogs ディレクトリにランサムウェア・ペイロード (win.exe) をステージングし、Windows Update BETA というスケジュール・タスクを設定することで、システム起動時に NT AUTHORITY\SYSTEM 権限で実行する。

実行ログには暗号化ログファイル (mcv.dll) が作成され、ランサムウェアは新しい拡張子でファイルを暗号化し、身代金要求文書 (ElonsHelp.txt) を生成して交渉用メールアドレスを埋め込む。

暗号化を完了した攻撃者は、”HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options” のレジストリを変更し、Ngrok の自動起動を無効化することで、暗号化トンネルの持続を防いでいた。

Evidence of the creation of the “ngr.bat” file.
Evidence of the creation of the “ngr.bat” file.

最後に、Ngrok/tfod.cmd/ngr.bat/ss.exe などのツールとペイロードは、遅延削除コマンド (ping 127.0.0.1 の遅延) により削除され、フォレンジック痕跡を消去するためのスケジュール・タスクも削除される。

緩和策

Oracle Database Scheduler を利用する組織は、以下の対策を実施する必要がある:

  • Oracle 管理ポートへのネットワーク・アクセスを制限し、未使用の外部ジョブを無効化する。
  • データベース管理者に多要素認証を適用し、異常な SYSDBA 接続を監視する。
  • ホストベースの監視を導入し、”extjobo.exe” の使用/予期しない PowerShell アクティビティ/不正なスケジュール・タスクなどを検知する。
  • 承認済みバイナリをホワイトリストに登録し、Ngrok 設定を監視することで、トンネリング・ソフトウェアの導入を管理する。
  • 堅牢なバックアップおよび復旧プロセスを維持し、暗号化または改竄されたログをインシデント分析のために復元可能にする。
  • Oracle Scheduler 機能をプロアクティブに保護し、特権コマンド実行の可視性を高めることで、防御者は同様の侵入試行を阻止し、重要なデータベース環境を保護できる。

Oracle Database Scheduler の外部ジョブ機能が、攻撃の入口として悪用されているようです。原因となっているのは、extjobo.exe というコンポーネントが、受け取ったコマンドを高い権限で実行できてしまう仕組みです。ここにエンコード済みの PowerShell やリバースシェルを差し込む攻撃者は、さらに Ngrok を使って外部との通信を隠しながら権限昇格やランサムウェア展開につなげています。外部ジョブの仕組み自体が強力である分、誤用されると深刻なリスクを生むことが分かる事例です。ご利用のチームは、ご注意ください。よろしければ、Oracle で検索も、ご参照ください。