Oracle EBS のゼロデイを悪用する大規模な恐喝キャンペーン:CL0P の犯行を Google が特定

Google Warns of CL0P Ransomware Group Actively Exploiting Oracle E-Business Suite Zero-Day

2025/10/10 CyberSecurityNews — CL0P ランサムウェア・グループが Oracle E-Business Suite (EBS) 環境を標的とした大規模な恐喝キャンペーンを開始したことで、サイバー・セキュリティ環境は深刻な脅威に直面している。セキュリティ研究者が指摘するのは、CL0P 恐喝ブランドとの連携を主張する脅威アクターたちが、多数の組織の経営幹部を標的とする高度かつ大量のメール・キャンペーンを、2025年9月29日以降において開始していることだ。

このキャンペーンが示すのは、広く使用されているエンタープライズ・アプリケーションのゼロデイ脆弱性を悪用するという、このグループの成功した運用モデルの継続性である。Oracle EBS 環境のゼロデイ CVE-2025-61882 と思われる脆弱性を悪用する脅威アクターたちの活動は、2025年7月10日に始まっていた可能性がある。

2025年10月2日に Oracle が発表したのは、2025年7月に修正された脆弱性を、攻撃者が悪用した可能性に関する情報である。その後にアクティブな悪用が確認されたことで、この脆弱性に対処するための緊急パッチがリリースされたのは 10月4日のことだった。つまり、EBS 顧客環境を標的とする数ヶ月にわたる侵入活動と、影響を受けた複数の組織からのデータの窃取に成功した後に、このキャンペーンは発生している。

Google Cloud のアナリストが、脅威アクターが用いる高度な多段階攻撃の手法を特定した。この手法は、複雑な脆弱性チェーンを介して Oracle EBS サーバを悪用することから始まる。

攻撃者たちは、アンダーグラウンド・フォーラムで販売されている、情報窃取マルウェアのログを入手したと思われる。それに続いて、侵害されたサードパーティのメール・アカウントを使用して、企業幹部に恐喝メールが送信された。

これらのメールには、2025年5月以降において CL0P データ漏洩サイトに関連付けられている、連絡先アドレス support@pubstorm.com および support@pubstorm.net が記載されていた。

Google Threat Intelligence Group の技術分析の結果として明らかになったのは、被害者の EBS 環境から正規のファイル・リストが盗まれた証拠であり、このグループの恐喝の主張を裏付けるものだ。そのデータは、2025年8月中旬まで遡る。

脅威アクターが示唆するのは、被害者とされる人物が金銭を支払えば盗難データの開示を阻止できるというものだが、具体的な金額や方法は明らかにされていない。それは、被害者との最初の接触後にのみ要求が提示されるという、現代の恐喝活動の典型的なパターンに従うものである。

多段階 Java インプラント・フレームワークの導入

CL0P 活動の巧妙さは、Oracle EBS への侵入専用に設計された、多段階 Java インプラント・フレームワークの導入により明らかになっている。主な攻撃ベクターは、SyncServlet コンポーネントを悪用し、未認証のリモートコード実行を可能にするものだ。

続いて脅威アクターは、 “/OA_HTML/SyncServlet” への POST リクエストで攻撃を開始し、その後に、 XDO テンプレート・マネージャ機能を利用して、EBS データベース内に悪意のテンプレートを作成する。

このエクスプロイト・チェーンは高度な技術能力を示しており、このペイロードは XDO_TEMPLATES_B データベース・テーブルに新しいテンプレートとして保存される。このテンプレート名は常に、”TMP” または “DEF” というプレフィックスで始まり、それぞれの TemplateType は “XSL-TEXT” または “XML” に設定される。

悪意のある XSL ペイロードの構造は、以下の形式に従う。

<?xml version="1.0" encoding="UTF-8"?>
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.o"
                xmlns:b64="http://www.orac"
                xmlns:jsm="http://www.orac"
                xmlns:eng="http://www.orac"
                xmlns:str="http://www.orac">
    <xsl:template match="/">
        <xsl:variable name="bs" select="b64:decode"/>
        <xsl:variable name="js" select="str:new"/>
        <xsl:value-of select="$code"/>
    </xsl:template>
</xsl:stylesheet>

SAGE infection chain (Source – Google Cloud)

このフレームワークには、2つの主要なペイロード・チェーンが含まれている。”TLSv1.3″ ハンドシェイクを装いながら攻撃者が制御する C2 サーバへの接続を確立する、Java 亜種のダウンローダー “GOLDVEIN.JAVA” である。もう1つは、複数のネストされた Java ペイロードで構成される SAGE 感染チェーンである。

まだ確定的ではありませんが、CL0P の EBS 標的キャンペーンで悪用される脆弱性は CVE-2025-61882 であり、それにより、SyncServlet で未認証のリモートコード実行が発生し、XDO テンプレート経由で任意の XSL ペイロードが保存されるという見方があるようです。ここを起点に多段階の Java インプラントを展開する攻撃者は、侵害したサードパーティのログや窃取したメールアカウントを組み合わせて権限を拡大し、データ窃取へとつなげているとされます。このキャンペーンに関しては、まだ続報があるように思えます。よろしければ、CVE-2025-61882 で検索も、ご参照ください。