美國航空旗下的一家區域性航空公司 Envoy Air證實，在 Clop 勒索團夥將美國航空列入其資料外洩網站後，其 Oracle E-Business Suite 應用程式的資料遭到洩露。美國航空公司先前曾在2022 年和2023 年遭遇資料洩露，導致員工個人資訊洩露。

這一新的安全事件與 Clop 勒索集團 8 月開展的資料竊取活動有關，該集團從 9 月開始透過電子郵件向公司發送勒索要求，聲稱竊取了 Oracle E-Business Suite 系統中的資料。雖然 Clop 不會透露有多少公司受到資料竊取攻擊的影響，但 Google 的 John Hultquist 透過電子郵件告訴 BleepingComputer，他們認為有數十家組織受到了影響。作為同一項數據盜竊活動的一部分， Clop 團夥還對哈佛大學進行了勒索，哈佛大學向BleepingComputer 證實，該事件影響了「與小型行政單位相關的有限數量的相關方」。

Clop 勒索軟體團夥目前正在其數據洩露網站上洩露他們聲稱從Envoy Air 竊取的數據，並聲稱“Envoy Air不關心其客戶，它忽視了他們的安全！！！” 雖然 Oracle 最初表示威脅行為者利用的是 7 月修補的漏洞，但該公司後來披露，勒索團夥在攻擊中利用了編號為 CVE-2025-61882 的零日漏洞。上週，Oracle 悄悄修補了另一個 E-Business Suite 零日漏洞 CVE-2025-61884，但並未揭露該漏洞在 2025 年 7 月被積極利用。

Envoy Air的資安事件再次凸顯了勒索集團從傳統勒索軟體（加密數據）轉向單純資料竊取與勒索（Data Extortion）的趨勢。Clop集團的目標明確，即針對廣泛使用的企業級軟體Oracle E-Business Suite進行零日漏洞攻擊，這是一種高效能的供應鏈攻擊模式。這種模式使得數十個依賴該套裝應用程式進行人力資源、財務管理和供應鏈操作的組織面臨風險。

Clop駭客集團利用的CVE-2025-61882零日漏洞，使他們能夠在未被發現的情況下存取和竊取關鍵資料。儘管Oracle最初的報告可能低估了攻擊的複雜性，但隨後披露的零日利用證實了該集團擁有高度的技術能力和資源。更令人擔憂的是，Oracle隨後悄悄修補了另一個零日漏洞CVE-2025-61884，這暗示了Clop或其他威脅行為者可能持續且積極地在利用Oracle E-Business Suite中的未公開漏洞。這種持續的零日利用使得企業的修補和防禦始終處於被動狀態。

對Envoy Air而言，資料洩露不僅造成直接的營運和財務損失，更嚴重的是信任危機。Clop在洩露數據時發布的聲明，旨在公開羞辱受害者並損害其聲譽，從而加劇了對客戶和員工關係的破壞。鑑於美國航空及其子公司在過去兩年內已多次遭受資料洩露，這對該航空集團的整體資安治理能力提出了嚴峻的質疑。

此事件為所有使用大型企業應用程式（如Oracle、SAP等）的企業敲響警鐘。企業不能僅依賴供應商的定期修補程式，必須實施零信任架構和持續的應用程式行為監控，以檢測和隔離對核心系統的異常存取行為，即使這些行為是透過未知的零日漏洞發起的。對於高度依賴單一企業套裝軟體的組織，應立即對其Oracle E-Business Suite環境進行徹底的威脅獵捕（Threat Hunting），並隔離所有相關數據，以確認是否成為Clop大規模數據竊取活動的受害者。

資料來源：https://www.bleepingcomputer.com/news/security/american-airlines-subsidiary-envoy-confirms-oracle-data-theft-attack/