報導摘要與事件概述

此報告旨在分析 Cl0p 勒索軟體組織近期針對高價值目標的協同攻擊行動，該行動的核心是利用 Oracle E-Business Suite (EBS) 中的重大遠端程式碼執行漏洞（CVE-2025-61882）。Cl0p 先後聲稱入侵了美國知名媒體《華盛頓郵報》和英國國民醫療服務體系（NHS UK）的醫療服務提供商，再次證明其專注於針對跨行業廣泛使用的企業級軟體進行大規模資料竊取的能力。

核心漏洞分析與攻擊細節

本次攻擊活動圍繞著 CVE-2025-61882 展開，該漏洞 CVSS 評分為 9.8，屬於嚴重等級的遠端程式碼執行（RCE）漏洞。分析顯示，攻擊活動可能早在 2025 年 8 月就已開始。攻擊者主要針對 Oracle EBS 的 BI Publisher Integration 模組，該模組允許未經身份驗證的存取，從而危及易受攻擊的系統。

Cl0p 聲明與受害者證實

2026 年 11 月 11 日，Cl0p 勒索軟體組織在其暗網洩露網站上發帖，指責英國國家醫療服務體系 (NHS UK)醫療服務提供商忽視了安全問題，並聲稱：該公司漠視客戶，無視他們的安全。Cl0p 勒索軟體組織將NHS UK列為受害者，在此幾天，《華盛頓郵報》證實了與 CVE-2025-61882 相關的 Oracle E-Business 重大安全漏洞。 Cl0p 勒索軟體組織尚未透露被盜資料的數量，但這項聲明與持續不斷的攻擊和報告相吻合，這些攻擊和報告指出 CL0p利用了 Oracle E-Business Suite (EBS) 中的漏洞。同一時間，NHS UK尚未證實發生資料外洩事件，但其網路安全部門曾在10月發布警報，指出Oracle EBS有嚴重漏洞。該警報警告依賴Oracle企業軟體的醫療保健和公共部門系統立即應用修補程式並限制網路暴露。 Cl0p發布漏洞資訊的時機表明，該組織可能利用了NHS一個月前指出的相同漏洞。儘管對英國國民醫療服務體系（NHS）的說法仍在調查中，但 Cl0p 的行動已經證明了其影響力。就在幾天前的 11 月 7日，該組織宣布他們利用同樣的 Oracle EBS 漏洞入侵了《華盛頓郵報》。根據Hackread.com 報導，駭客在一個名為「.」的資料夾中發布了他們聲稱的183GB資料ebs.washpost.com。 《華盛頓郵報》隨後證實也受到了影響，稱其是「Oracle E-Business Suite 平台漏洞」的受害者之一。Outpost24的資深威脅情報分析師莉迪亞‧洛佩茲指出，這起事件凸顯了Cl0p專注於攻擊高價值業務系統，而非隨機目標。 SOCRadar 的技術內容經理Faik Emre Derin補充說，Oracle EBS 攻擊活動圍繞著 CVE-2025-61882 展開，這個嚴重的遠端程式碼執行漏洞，CVSS 評分為 9.8。Derin建議執行 Oracle EBS 的組織立即安裝 2025 年 10 月的補丁，進行追溯到 8 月的取證審查，並監控與可疑 IP 位址（例如 200.107.207.26 和 185.181.60.11）的連接。

專家觀點與 Cl0p 戰術演變

安全專家指出，這次攻擊符合 Cl0p 針對企業軟體進行大規模資料竊取的操作模式。該組織已從傳統的勒索軟體加密轉向協同的資料外洩活動，利用 零日漏洞 攻擊 MOVEit、GoAnywhere 和 Oracle EBS 等關鍵軟體。

Cl0p 的運營結構高度集中且技術化，使其能夠在供應商發布修補程式之前，對數百個組織進行同步攻擊。他們的戰術涉及掃描漏洞系統、取得遠端存取、維持持久性，並在數月內悄悄竊取資料後才發布洩露聲明。

緩解措施與安全建議

面對此類針對核心企業軟體的重大威脅，執行 Oracle EBS 的組織必須採取以下緊急措施：

• 立即修補： 立即安裝 Oracle 於 2025 年 10 月發布的補丁，以修復 CVE-2025-61882 及其相關漏洞。

• 事後取證審查： 進行追溯至 2025 年 8 月的取證審查，以確認潛在的入侵痕跡。

• 網路監控： 監控與可疑 IP 位址（例如 200.107.207.26 和 185.181.60.11）的連接。

• 限制網路暴露： 限制 Oracle EBS 系統的網路暴露範圍，防止未經授權的外部存取。

此次將 NHS UK 和《華盛頓郵報》列入受害者名單，標誌著 Cl0p 的行動成為近年來最具影響力的企業軟體漏洞攻擊事件之一。專家警告，許多系統仍處於暴露狀態，未修補的 Oracle 系統所帶來的威脅遠未結束。