Clop Ransomware Group Exploits New 0-Day Vulnerabilities in Active Attacks
2025/11/05 gbhackers — Clop ランサムウェア・グループが、世界中の企業組織に対して深刻な脅威をもたらしている。Ravenfile の最新調査により明らかになったのは、Oracle E-Business Suite の深刻なゼロデイ脆弱性を悪用していることだ。2019 年初頭から活動している Clop は、最も活発かつ高度なランサムウェア集団の一つとして確固たる地位を築いており、活動が開始されてから 1,025件を超える組織を標的とし、$500 million 以上の金銭を脅し取っている。
このグループは、2016 年に出現した CryptoMix ランサムウェアの亜種と考えられており、CIS (Commonwealth of Independent States) 諸国を非標的とする戦略を持つため、その起源はロシアに遡るとされている。
Clop という名称は、攻撃が成功した後に、暗号化されたファイルに付与される独特のファイル拡張子 (.cl0p) に由来しており、ロシア語で “トコジラミ” を意味するという。
同世代グループと比べて、この脅威アクターの異なる点は、最先端のゼロデイ脆弱性を継続的に悪用していることであり、高度な技術力と情報収集活動の巧妙さを示している。
Oracle EBS ゼロデイ脆弱性の悪用
最近の脅威インテリジェンス分析により、Oracle E-Business Suite に深刻なゼロデイ脆弱性が発見された。この脆弱性は 2025年6月に特定され、同年 10月には Oracle は侵害の兆候 (IOC) を公式に公開している。
この脆弱性 CVE-2025-61882 を悪用する攻撃者は、影響を受ける組織全体の受注/調達/物流などの業務を担う ERP (Enterprise Resource Planning) システムの侵害を可能にする。
Ravenfile による調査の始まりは、Oracle が共有する2つのアウトバウンド IP アドレスである、”185.181.60.11 (ASN: AS56655, Gigahost)” と “200.107.207.26 (ASN: AS273045, DATAHOME S.A)” からの分析だった。
Shodan や FOFA などのインターネット・スキャナーを用いた調査により、エルサルバドルの IP アドレスに関連するネットワーク・フィンガープリントが特定され、また、この IP アドレスが 96 個の IP アドレスと相関していることが判明した。
地理的な分析の結果として明らかになったのは、ドイツに 16 個の IP アドレスが所在し、それに続くのがブラジル 13 個、パナマ 12 個という状況である。
注目すべきは、ロシアに属する IP アドレスが僅か3個であり、リストの最下位に位置していることだ。その背景にあるのは、ロシアの自律システム番号 (ASN) をブロックするケースの増加にあり、また、この攻撃者が意図的に、インフラを多様化させる戦略を取っている点である。
過去の MOVEit 攻撃キャンペーン
研究者たちが実施したのは、2023 年の MOVEit 脆弱性悪用に関する CISA の公式報告書に記載された IOC と、現在のエクスプロイト基盤の相互参照であり、それにより重要な進展を得られたという。
具体的には、特定された 96 のサブネット IP のうちの 41 が、MOEVit の CVE-2023-34362 への攻撃で使用されていたことが判明し、現在と過去の Clop 攻撃の間に確度の高い関連性があることが確認された。
重複サブネットの分析結果として明らかになったのは、2023年1月から現在に至るまで、Clop の複数のエクスプロイト・キャンペーンにおいて基盤パターンが維持されていることだ。
2023 年の MOVEit 悪用クラスターと、その後に発生した Fortra GoAnywhere のコマンド・インジェクションの脆弱性 CVE-2023-0669 の侵害データを組み合わせると、両インシデントで 37 の IP アドレスが一致した。
注目すべきは、これらの IP アドレスの 59.5% が米国に所在している点であり、それに続くのがカナダの 13.5%、オランダの 8.1% だった。
さらに、SSL 証明書のフィンガープリント分析が、インフラの継続性を特定する上で重要な役割を果たした。
以下の、Oracle EBS エクスプロイトに関連するフィンガープリントは、2023年の MOVEit 攻撃で記録されたフィンガープリントと一致し、現在の攻撃と過去の攻撃キャンペーンを正確に結び付けた。
bd613b3be57f18c3bceb0aaf86a28ad8b6df7f9bccacf58044f1068d1787f8a5
複数のフィンガープリントにわたるサブネット分析の結果、特定されたサブネットの 77.8% に再利用パターンが確認され、”5.188.86/24″ サブネットは複数のエクスプロイト・インシデントで 14 回も出現していた。
これらの調査結果が示すのは、検出努力の強化にもかかわらず、Clop が永続的なインフラを維持していることである。このグループは地域的なブロック措置を回避するために地理的分布を意図的にシフトし、分割されたネットワーク・セグメントを通じて活動を継続していると示唆される。
今回の調査で明らかになったのは、Clop ランサムウェアが Oracle E-Business Suite のゼロデイ脆弱性を悪用している点です。この侵害の背景にあるのは、業務システム内に存在するアクセス制御の不備と、複雑な ERP 環境が持つ防御の難しさです。Clop は、既存のインフラを再利用しながらゼロデイ攻撃を継続しており、その背後には高い技術力と持続的な運用体制があるようです。単なる攻撃キャンペーンではなく、ネットワーク構成や地理的分散を巧妙に設計している点が、この脅威の根深さを示していると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Clop で検索と、CVE-2025-61882 で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.