Cl0p 랜섬웨어 — 오라클 EBS 고객 대상 대규모 침해 및 피해자 명단 공개

Cl0p 랜섬웨어 — 오라클 EBS 고객 대상 대규모 침해 및 피해자 명단 공개

핵심 요약: Cl0p 계열/연계 위협(보고서 상 FIN11 연계 추정)이 Oracle E-Business Suite(EBS)를 표적으로 한 캠페인을 통해 다수 기업의 데이터를 압수·공개했습니다. 일부 취약점(CVE-2025-61882, CVE-2025-61884)이 제로데이 형태로 악용된 정황이 제기되고 있습니다. 즉시 패치 적용과 계정·네트워크 차단, 포렌식 대응이 필요합니다.

사건 개요

9월 말경부터 Cl0p 랜섬웨어 연계 위협 활동으로 추정되는 공격 캠페인이 진행되었고, 공격자들은 Oracle EBS 환경에서 추출한 데이터 일부를 자신들의 유출 사이트에 올렸습니다. 현재 확인된 공개 명단에는 글로벌 기업을 포함해 수십 개 조직이 포함되어 있으며, 공개된 데이터 규모는 수백 기가바이트에서 테라바이트 단위에 이릅니다.

피해 현황 (요약)

• 공개 피해자 수: 다수(보도 기준 29개 조직 표기 사례 포함)
• 공개된 데이터: 인사·재무·영업 문서 등 EBS 관련 데이터로 추정
• 공격자 그룹·연계: Cl0p(데이터 유출 사이트 운영) / FIN11 연계 가능성 제시
• 의심 취약점: CVE-2025-61882, CVE-2025-61884 (원격 인증 없이 민감 데이터 접근 가능성 제기)

공격 기법(가능성 높은 시나리오)

• Oracle EBS의 웹 취약점 또는 외부 노출 관리 인터페이스를 통해 초기 접근 확보
• 취약 계정·관리자 암호 탈취 → 내부 네트워크 횡적이동(credential access & lateral movement)
• 데이터 수집(Export/Download) → 외부 C2 또는 파일 전송 툴을 통해 대량 유출
• 유출 데이터 일부를 Cl0p 유출 포털에 게시하고 추가 협박(견인 전술)

의심 취약점 설명 (간략)

보고된 의심 CVE들은 EBS의 특정 서비스 또는 인터페이스에서 인증·권한 검증 우회 또는 원격 명령 실행 가능성을 허용하는 유형으로 보도되었습니다. 패치 전 악용 정황이 보고된 경우 제로데이로 분류될 수 있으므로 즉시 공급사 보안 권고를 확인하고 긴급 패치를 적용해야 합니다.

예: CVE-2025-61882, CVE-2025-61884 — 원격 인증 없이 특정 API/관리 화면을 통해 민감 데이터 접근/추출 가능

긴급 권고 (즉시 실행)

• 패치 적용: Oracle의 보안 권고가 있으면 즉시 패치(Hotpatch/CPU)를 적용합니다.
• 외부 접근 차단: EBS 관리 인터페이스·포털의 외부 노출(IP·포트)을 네트워크레벨에서 차단하거나 VPN/프록시로만 접근하도록 제한합니다.
• 관리자 자격증명 점검: 모든 관리자 계정의 비밀번호·MFA 재설정, 계정 사용 이력(로그인 IP/시간) 감사
• 로그·네트워크 모니터링 강화: 데이터 대량 다운로드, 비정상적 API 호출, 대용량 outbound 전송 탐지 룰 적용
• 긴급 포렌식·격리: 의심 서버는 네트워크에서 분리하고 이미지 수집(메모리·디스크) 후 포렌식 실시
• 백업 검증: 최신 백업 무결성 확인 및 오프라인 백업 보관 위치 점검

탐지 시그니처(예시)

• 관리자 UI에서 비정상 대규모 Export/Report 실행 로그
• 짧은 시간 내 다수의 대용량 파일 생성 및 압축·업로드 활동
• 알려지지 않은 외부 IP로의 대량 전송(특히 파일전송 서비스 도메인 접속 패턴)
• 비표준 포트로의 지속적 연결 시도 및 C2 패턴(주기적 폴링)

Suricata/IDS 예시 룰(개념)
alert tcp any any -> any any (msg:"Possible EBS data exfil via suspicious POST"; flow:to_server,established; content:"/OA_HTML/"; http_method; content:"report"; nocase; threshold: type limit, track by_src, count 5, seconds 60; sid:1000001;)

사후 대응 체크리스트

• 유출 가능성 확인: 관련 EBS 스키마/디렉토리에서 최근 Export/Dump 로그 확인
• 외부 통신 로그 확보: 방화벽, 프록시, IDS/IPS에서 의심 IP·도메인 수집
• 고객·규제 통지 준비: 개인정보 포함 시 법규에 따른 신고·통지 절차 준비
• 영향 분석: 유출된 데이터 유형(개인정보, 재무, 계약서 등) 분류 및 영향도 산정
• 근본 원인 제거: 패치·구성 변경·권한 최소화로 동일 루트 재침해 방지

참고(권장) 명령 / 확인 쿼리

-- EBS 관련 최근 대용량 Export 활동 확인 (예시)
SELECT username, program, logon_time, module, action FROM dba_audit_trail
WHERE action_name LIKE '%EXPORT%' OR sql_text LIKE '%FND%EXPORT%' 
ORDER BY logon_time DESC;

-- 웹 서버 접근 로그에서 의심 POST 패턴 검색 (예시, OS)
grep -i "POST /" /var/log/httpd/access_log | grep -E "OA_HTML|FND" | tail -n 200

-- 방화벽/프록시에서 대역폭 큰 아웃바운드 세션 확인 (예시)
netstat -anp | awk '{print $5}' | sort | uniq -c | sort -nr | head

현재 상황에서는 공식 발표가 없는 조직도 많습니다. 내부 조사를 통해 사실관계를 정확히 파악하고, 외부 공개 정보만을 신뢰하지 말고 자사 시스템 로그·백업·접속 기록을 우선 점검하십시오.