Cl0p 勒索集團正利用 Oracle E-Business Suite (EBS) 的零時差漏洞(CVE-2025-61882)進行大規模的資料竊取與勒索攻擊。根據 Google 旗下 Mandiant 資安團隊的調查,該集團已在 2025 年 8 月成功從多家受害企業竊取大量資料,並從上週一開始發送勒索郵件給受害者。
關鍵漏洞 CVE-2025-61882
CVE-2025-61882 是一個影響 Oracle E-Business Suite 的關鍵安全漏洞,CVSS 評分高達 9.8,屬於極度嚴重等級。此漏洞具有以下特性:
- 影響範圍:Oracle E-Business Suite 12.2.3 至 12.2.14 版本
- 攻擊條件:無需身份驗證,攻擊者僅需透過 HTTP 網路存取即可利用
- 影響元件:Oracle Concurrent Processing 中的 BI Publisher Integration 元件
- 潛在危害:可導致遠端程式碼執行(RCE),攻擊者可完全接管受影響系統
美國國家漏洞資料庫(NVD)的描述中指出,CVE-2025-61882 是一個「易於利用的漏洞」,成功利用後可完全接管 Oracle Concurrent Processing 系統。
攻擊時間軸與手法演進
- 2025年7月:Oracle 發布季度安全更新,修補九個安全漏洞
- 2025年8月:Cl0p 集團開始利用多個漏洞(包括當時未公開的零時差漏洞)竊取企業資料
- 2025年9月底:受害企業開始收到聲稱來自 Cl0p 的勒索郵件
- 2025年10月4日:Oracle 緊急發布 CVE-2025-61882 安全警報,承認存在零時差漏洞
- 2025年10月5日:駭客組織 Scattered Lapsus$ Hunters 在 Telegram 公開洩露包含漏洞利用程式的壓縮檔
Oracle 安全團隊公布的入侵指標(IoCs)顯示,此次攻擊可能涉及多個駭客組織的合作:
- 可疑 IP 位址:
- 200.107.207.26(執行 GET 和 POST 活動)
- 185.181.60.11(執行 GET 和 POST 活動)
- 惡意檔案與腳本:
- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
- exp.py(漏洞利用腳本)
- server.py(後門服務腳本)
檔案名稱明確提及「Scattered Lapsus$ Hunters」,這個組織據稱包含 Scattered Spider、Lapsus$ 和 ShinyHunters 等多個駭客團體的成員。這與
本週稍早 Red Hat 遭受的攻擊事件有著明顯的關聯性,顯示這些駭客組織可能正在協同作戰。
Cl0p 集團的勒索策略
根據 Mandiant 的調查,Cl0p 採用了典型的「雙重勒索」策略:
- 資料竊取階段:利用漏洞滲透企業網路,竊取大量敏感資料
- 勒索威脅階段:向企業高層發送勒索郵件,威脅公開或販售竊取的資料
- 逐步施壓:Mandiant CTO Charles Carmakal 警告,Clop 可能尚未聯繫所有受害者,預期將有更多企業收到勒索通知
與傳統勒索軟體加密檔案的手法不同,
Clop 在此次攻擊中採用純粹的資料勒索(Data Extortion)策略,不加密系統而是威脅洩露資料,這降低了被發現的風險,同時增加了勒索成功的機率。
Oracle 的回應與補救措施
Oracle 首席安全官 Rob Duhart 最初暗示部分客戶因未套用 7 月份的安全更新而遭受攻擊,但隨後更正說明,承認存在新的零時差漏洞。Oracle 已於10月4日發布 CVE-2025-61882 的安全修補程式並公開攻擊者使用的 IP 位址和惡意檔案特徵,敦促所有受影響客戶「盡快」套用安全更新。
Oracle E-Business Suite 是全球許多大型企業的核心 ERP 系統,在台灣也有眾多金融、製造、零售業者使用。此次攻擊的影響包括:
- 資料外洩風險:EBS 系統通常包含財務、客戶、供應鏈等核心業務資料
- 供應鏈連鎖效應:受害企業的商業夥伴可能間接受到影響
- 合規風險:資料外洩可能違反 GDPR、個資法等法規要求
- 商譽損失:客戶資料外洩將嚴重影響企業信譽
台灣企業的立即行動事項:
- 版本確認:檢查是否使用 Oracle EBS 12.2.3 至 12.2.14 版本
- 緊急修補:立即套用 CVE-2025-61882 安全更新
- 入侵檢測:即使已套用修補,仍需檢查是否在 8 月份已遭入侵
- 日誌審查:檢查系統日誌中是否有來自可疑 IP 的存取記錄
此次事件清楚顯示了當前網路犯罪生態系統的重大轉變。過去各自為政的駭客組織,如今正形成錯綜複雜的聯盟網絡。從攻擊檔案名稱中同時出現 Cl0p、Scattered Spider、Lapsus$ 和 ShinyHunters 等多個組織名稱可以看出,這些原本獨立運作的駭客團體正在共享技術資源、漏洞利用工具,甚至可能進行分工合作。這種聯盟化趨勢大幅提升了攻擊的複雜度和成功率,也讓企業防禦變得更加困難。
同時,零時差漏洞的利用週期正在急劇縮短。從 Scattered Lapsus$ Hunters 在 Telegram 公開發布漏洞利用程式可以看出,這些高價值的攻擊工具正快速在地下市場流通,從發現到大規模利用的時間窗口越來越短。這意味著企業必須在極短時間內完成評估、測試和修補,否則就會成為攻擊目標。
Tenable 資深研究工程師 Satnam Narang 指出,攻擊者可能同時利用了 7 月份修補的漏洞和這個零時差漏洞,顯示攻擊的複雜性和持續性。