-
09/04/2020
-
118
-
1.240 bài viết
Ransomware Clop tái xuất, lợi dụng lỗ hổng zero-day Oracle EBS tấn công toàn cầu
Một lỗ hổng nghiêm trọng trong hệ thống Oracle E-Business Suite (EBS) đang bị nhóm ransomware khét tiếng Clop khai thác trong chiến dịch tấn công mới, nhắm vào các doanh nghiệp và tổ chức lớn trên toàn cầu. Lỗ hổng này, được gán mã CVE-2025-61882, cho phép tin tặc truy cập trái phép và điều khiển các chức năng cốt lõi của hệ thống ERP, bao gồm quản lý mua sắm, hậu cần và tài chính.
Theo báo cáo từ các nhà nghiên cứu an ninh mạng, chiến dịch của Clop bắt đầu từ tháng 6/2025, khi nhóm này phát hiện và khai thác một lỗ hổng zero-day chưa được vá trong Oracle EBS. Oracle chỉ xác nhận lỗi và phát hành bản vá vào tháng 10/2025, nhưng khi đó mã khai thác đã bị rò rỉ và lan truyền công khai.
Nhóm Clop ransomware từng gây chấn động toàn cầu với vụ tấn công MOVEit Transfer và GoAnywhere MFT năm 2023 và lần này là các doanh nghiệp sử dụng nền tảng ERP của Oracle. Các cuộc tấn công cho phép tin tặc chiếm quyền điều khiển máy chủ, đánh cắp dữ liệu nhạy cảm và sau đó đe dọa công bố thông tin để tống tiền.
Cuộc điều tra cho thấy Clop vận hành hơn 90 máy chủ điều khiển (C2) tại nhiều quốc gia, trong đó: Đức, Brazil, Panama và Hồng Kông là những khu vực hoạt động mạnh nhất. Các máy chủ này có dấu vết mật mã trùng khớp với hạ tầng Clop từng sử dụng trong chiến dịch năm 2023, chứng minh nhóm này tái sử dụng hạ tầng cũ kết hợp vùng máy chủ mới, chủ yếu ở Mỹ Latin và Trung Đông để né tránh truy vết.
Các dải IP quen thuộc như "5.188.86.x", "88.214.27.x" và "45.182.189.x" tiếp tục được sử dụng, cùng các nhà cung cấp dịch vụ lưu trữ như Batterflyai Media Ltd và Global Layer B.V.. Điều này cho thấy Clop đang vận hành một mạng lưới hybrid lai giữa cũ và mới, giúp nhóm duy trì hoạt động dù bị truy quét liên tục.
Lỗ hổng CVE-2025-61882 cho phép tin tặc gửi các yêu cầu đặc biệt đến hệ thống Oracle EBS, chèn mã độc vào quy trình xử lý XSLT, qua đó thực thi lệnh từ xa (RCE) mà không cần xác thực. Một khi xâm nhập thành công, Clop sẽ:
Oracle E-Business Suite là nền tảng quản trị tổng thể được sử dụng rộng rãi trong ngân hàng, logistics, sản xuất và các cơ quan nhà nước. Việc bị chiếm quyền có thể dẫn đến:
Để giảm thiểu rủi ro, các chuyên gia khuyến nghị doanh nghiệp:
Theo báo cáo từ các nhà nghiên cứu an ninh mạng, chiến dịch của Clop bắt đầu từ tháng 6/2025, khi nhóm này phát hiện và khai thác một lỗ hổng zero-day chưa được vá trong Oracle EBS. Oracle chỉ xác nhận lỗi và phát hành bản vá vào tháng 10/2025, nhưng khi đó mã khai thác đã bị rò rỉ và lan truyền công khai.
Nhóm Clop ransomware từng gây chấn động toàn cầu với vụ tấn công MOVEit Transfer và GoAnywhere MFT năm 2023 và lần này là các doanh nghiệp sử dụng nền tảng ERP của Oracle. Các cuộc tấn công cho phép tin tặc chiếm quyền điều khiển máy chủ, đánh cắp dữ liệu nhạy cảm và sau đó đe dọa công bố thông tin để tống tiền.
Cuộc điều tra cho thấy Clop vận hành hơn 90 máy chủ điều khiển (C2) tại nhiều quốc gia, trong đó: Đức, Brazil, Panama và Hồng Kông là những khu vực hoạt động mạnh nhất. Các máy chủ này có dấu vết mật mã trùng khớp với hạ tầng Clop từng sử dụng trong chiến dịch năm 2023, chứng minh nhóm này tái sử dụng hạ tầng cũ kết hợp vùng máy chủ mới, chủ yếu ở Mỹ Latin và Trung Đông để né tránh truy vết.
Các dải IP quen thuộc như "5.188.86.x", "88.214.27.x" và "45.182.189.x" tiếp tục được sử dụng, cùng các nhà cung cấp dịch vụ lưu trữ như Batterflyai Media Ltd và Global Layer B.V.. Điều này cho thấy Clop đang vận hành một mạng lưới hybrid lai giữa cũ và mới, giúp nhóm duy trì hoạt động dù bị truy quét liên tục.
Lỗ hổng CVE-2025-61882 cho phép tin tặc gửi các yêu cầu đặc biệt đến hệ thống Oracle EBS, chèn mã độc vào quy trình xử lý XSLT, qua đó thực thi lệnh từ xa (RCE) mà không cần xác thực. Một khi xâm nhập thành công, Clop sẽ:
- Tải tệp độc hại lên máy chủ,
- Trích xuất dữ liệu nhạy cảm như hồ sơ khách hàng, hợp đồng, tài chính,
- Và cuối cùng gửi email đòi tiền chuộc, đe dọa công khai thông tin nếu không đáp ứng yêu cầu.
Oracle E-Business Suite là nền tảng quản trị tổng thể được sử dụng rộng rãi trong ngân hàng, logistics, sản xuất và các cơ quan nhà nước. Việc bị chiếm quyền có thể dẫn đến:
- Rò rỉ dữ liệu tài chính, hợp đồng, nhân sự hoặc khách hàng,
- Gián đoạn chuỗi cung ứng, dừng sản xuất hoặc dịch vụ,
- Uy tín doanh nghiệp sụt giảm nghiêm trọng,
- Và thiệt hại tài chính khổng lồ cho việc khôi phục và khắc phục hậu quả.
Để giảm thiểu rủi ro, các chuyên gia khuyến nghị doanh nghiệp:
- Cập nhật ngay bản vá bảo mật của Oracle EBS (CVE-2025-61882).
- Giới hạn truy cập Internet với máy chủ ERP, chỉ cho phép kết nối nội bộ.
- Theo dõi các địa chỉ IP nghi vấn trong danh sách IOC được công bố bởi các hãng bảo mật.
- Giám sát hoạt động bất thường trong hệ thống ERP và mạng nội bộ.
- Xây dựng quy trình phản ứng sự cố và sao lưu dữ liệu định kỳ để giảm thiểu thiệt hại khi bị tấn công.
WhiteHat