اخیراً گروه باجافزار Clop مورد توجه قرار گرفته است؛ این گروه از اوایل مردادماه (اوائل آگوست) از یک آسیبپذیری روز صفر در Oracle E-Business Suite برای سرقت گسترده دادهها بهرهبرداری کرده است. این نقص امنیتی با شناسه CVE-2025-61882 کشف شده و به مهاجمان امکان اجرای کد از راه دور را بدون نیاز به احراز هویت میدهد. محققان شرکت CrowdStrike گزارش دادهاند که Clop با استفاده از این آسیبپذیری به نمونههای آسیبپذیر حمله کرده است.
آسیبپذیری CVE-2025-61882 در مؤلفه «BI Publisher Integration» از بخش Concurrent Processing در Oracle E-Business Suite واقع شده است. این نقص اجازه میدهد مهاجمان با ارسال یک درخواست HTTP دستکاریشده در شبکه، بدون آنکه نام کاربری یا رمز عبور لازم باشد، کنترل سیستم را به دست بگیرند. محققان کشف کردهاند که Clop این ضعف را از همان اوایل مردادماه در حملات سرقت داده به کار گرفته است.
در خلال مطالعه روی کد اثبات مفهوم (PoC) که توسط گروه Scattered Lapsus$ Hunters منتشر شده، مشخص شد که این آسیبپذیری در واقع زنجیرهای از ضعفها است که اجازه فرار از محیط ایزوله Lua یا دیگر محدودیتها را میدهد. با ترکیب چند مرحله از ضعف، مهاجمان میتوانند به اجرای کد دلخواه برسند. همچنین مشخص شده است که این ضعف به گونهای طراحی شده که نیازی به تعامل کاربر ندارد.
همچنین Clop در یک کمپین باجخواهانه به مدیران اجرایی شرکتها ایمیلهایی ارسال کرده است و در آنها ادعا میکند که از Oracle E-Business Suite آن سازمانها دادههایی را سرقت کرده است. این ایمیلها همراه با درخواست باج برای جلوگیری از انتشار عمومی دادههای سرقتشده بودهاند. Oracle در بیانیهای این نقص را بهصورت رسمی تأیید کرده و توصیه کرده است که مشتریان هر چه سریعتر بهروزرسانیهای امنیتی مربوطه را اعمال کنند.
در بیانیه هشدار امنیتی Oracle آمده است که سیستمهایی که نسخههای ۱۲.۲.۳ تا ۱۲.۲.۱۴ از Oracle E-Business Suite را اجرا میکنند، تحت تأثیر این نقص قرار دارند. این شرکت اعلام کرده که برای نصب وصله جدید، ابتدا باید نسخه October 2023 Critical Patch Update نصب شده باشد.
در میان شاخصهای شناسایی نفوذ (Indicators of Compromise) منتشرشده توسط Oracle، آدرسهای IP، دستورات اجرای شل معکوس و افشای فایلهای exploit دیده شده است. فایلی با نامی شامل «Scattered Lapsus» نیز در میان فایلهای منتشرشده وجود دارد که نشاندهنده ارتباط احتمالی بین گروههای Clop و Scattered Lapsus$ Hunters است.
موسسههای امنیتی مانند Mandiant معتقدند که این نقص به همراه سایر آسیبپذیریهای وصلهشده در جولای ۲۰۲۵ در حملات Clop استفاده شدهاند تا حجم قابلتوجهی از دادهها از قربانیان استخراج شود. به گفته چارلز کارماکل، فناوری ارشد Mandiant، حتی پس از اعمال وصله، سازمانها باید بررسی کنند که آیا قبلاً مورد نفوذ قرار گرفتهاند یا خیر.
