Nhóm mã độc tống tiền Clop tiếp tục là một mối đe dọa đáng kể đối với các tổ chức doanh nghiệp trên toàn cầu. Các phân tích gần đây đã tiết lộ việc mã độc tống tiền này khai thác một lỗ hổng zero-day nghiêm trọng trong Oracle E-Business Suite.

Hoạt động từ đầu năm 2019, Clop đã khẳng định vị thế là một trong những băng nhóm mã độc tống tiền năng suất và tinh vi nhất. Nhóm này đã tấn công hơn 1.025 tổ chức và tống tiền hơn 500 triệu USD kể từ khi thành lập.

Clop được cho là một biến thể của ransomware CryptoMix xuất hiện vào năm 2016. Nhóm này có chiến lược tránh nhắm mục tiêu vào các quốc gia thuộc Cộng đồng Các Quốc gia Độc lập (CIS), với nguồn gốc bị nghi ngờ từ Nga.

Tên gọi “Clop” bắt nguồn từ phần mở rộng tệp đặc trưng (.cl0p) được thêm vào các tệp bị mã hóa sau các cuộc tấn công thành công. Trong tiếng Nga, từ này cũng có nghĩa là “rệp giường”.

Điều làm cho mã độc tống tiền Clop khác biệt so với các tác nhân đe dọa cùng thời là việc khai thác liên tục các lỗ hổng zero-day tiên tiến. Khả năng này nhấn mạnh sự tinh vi về kỹ thuật và hoạt động thu thập thông tin tình báo của nhóm mã độc tống tiền Clop.

Phân Tích Lỗ Hổng Zero-Day Trong Oracle E-Business Suite

Phát Hiện Ban Đầu và Mã Định Danh CVE

Phân tích tình báo đe dọa gần đây đã phát hiện một lỗ hổng zero-day nghiêm trọng trong Oracle E-Business Suite. Lỗ hổng này được xác định ban đầu vào tháng 6 năm 2025.

Oracle đã chính thức phát hành các chỉ số xâm nhập (IOCs) vào tháng 10 năm 2025.

CVE-2025-61882 được phân loại là một lỗ hổng CVE nghiêm trọng. Lỗ hổng này cho phép kẻ tấn công xâm phạm các hệ thống hoạch định tài nguyên doanh nghiệp (ERP) tích hợp. Các hệ thống này chịu trách nhiệm quản lý đơn hàng, mua sắm và các hoạt động hậu cần trong các tổ chức bị ảnh hưởng.

Để hiểu rõ hơn về các lỗ hổng đã được ghi nhận, bạn có thể tham khảo cơ sở dữ liệu quốc gia về lỗ hổng bảo mật đáng tin cậy:

• NVD – CVE-2023-34362 (Vulnerability MOVit được đề cập trong phân tích)

Chỉ Số Xâm Nhập (IOCs) và Điều Tra Cơ Sở Hạ Tầng Tấn Công

Cuộc điều tra bắt đầu với hai địa chỉ IP đầu ra được Oracle chia sẻ:

• 185.181.60.11 (ASN: AS56655, Gigahost)
• 200.107.207.26 (ASN: AS273045, DATAHOME S.A)

Khảo sát thêm bằng cách sử dụng các trình quét internet như Shodan và FOFA đã xác định được một dấu vân tay mạng. Dấu vân tay này liên quan đến địa chỉ IP của El Salvador và tương quan với 96 địa chỉ IP bổ sung.

Phân tích địa lý tiết lộ Đức dẫn đầu với 16 IP, tiếp theo là Brazil với 13 IP và Panama với 12 IP.

Đáng chú ý, Nga xuất hiện ở cuối danh sách chỉ với ba IP. Điều này cho thấy chiến lược đa dạng hóa cơ sở hạ tầng có chủ đích của nhóm mã độc tống tiền Clop. Các tổ chức ngày càng chặn các số hệ thống tự trị (ASN) của Nga.

Liên Kết Các Chiến Dịch Tấn Công Của Clop Ransomware

Tái Sử Dụng Cơ Sở Hạ Tầng Tấn Công MOVit

Một bước đột phá đáng kể xuất hiện trong quá trình phân tích sâu. Các nhà nghiên cứu đã đối chiếu cơ sở hạ tầng khai thác hiện tại với các IOC lịch sử được ghi lại trong các báo cáo chính thức của CISA về việc khai thác lỗ hổng MOVit năm 2023.

Cụ thể, 41 trong số 96 địa chỉ IP mạng con đã được xác định trước đây được sử dụng trong chiến dịch MOVit (CVE-2023-34362). Điều này thiết lập một kết nối có độ tin cậy cao giữa các hoạt động hiện tại và quá khứ của nhóm mã độc tống tiền Clop.

Phân tích mạng con chồng chéo đã tiết lộ rằng Clop duy trì các mô hình cơ sở hạ tầng kiên trì qua nhiều chiến dịch khai thác. Các chiến dịch này kéo dài từ tháng 1 năm 2023 đến các hoạt động hiện tại.

Bằng cách kết hợp dữ liệu từ cụm khai thác MOVit và lỗ hổng tiêm lệnh GoAnywhere Fortra (CVE-2023-0669), các nhà nghiên cứu đã xác định 37 địa chỉ IP có độ tin cậy cao. Các địa chỉ này cho thấy sự trùng khớp chính xác trong cả hai sự cố năm 2023.

Đáng chú ý, 59.5% trong số các IP này định vị địa lý tại Hoa Kỳ. 13.5% ở Canada và 8.1% ở Hà Lan. Điều này cho thấy sự phân bố địa lý rộng lớn của cơ sở hạ tầng tấn công.

Phân Tích Dấu Vân Tay Chứng Chỉ SSL

Phân tích dấu vân tay chứng chỉ SSL đã đóng vai trò quan trọng trong việc thiết lập tính liên tục của cơ sở hạ tầng của Clop.

Dấu vân tay “bd613b3be57f18c3bceb0aaf86a28ad8b6df7f9bccacf58044f1068d1787f8a5” liên quan đến việc khai thác Oracle EBS đã khớp với các dấu vân tay được ghi nhận trước đây trong các hoạt động MOVit năm 2023.

Điều này trực tiếp kết nối các cuộc tấn công hiện tại với các chiến dịch lịch sử của nhóm mã độc tống tiền Clop.

Phân tích mạng con trên nhiều dấu vân tay đã tiết lộ rằng 77.8% các mạng con được xác định cho thấy các mẫu tái sử dụng. Mạng con 5.188.86/24 xuất hiện 14 lần trong nhiều sự cố khai thác.

Chiến Lược Duy Trì Hoạt Động Của Mã Độc Tống Tiền Clop

Những phát hiện này nhấn mạnh sự phụ thuộc của Clop vào cơ sở hạ tầng kiên trì bất chấp những nỗ lực phát hiện gia tăng. Điều này cho thấy nhóm mã độc tống tiền này duy trì hoạt động liên tục thông qua các phân đoạn mạng được phân chia cẩn thận.

Clop cũng dần chuyển đổi phân bố địa lý để né tránh các biện pháp chặn khu vực. Điều này thể hiện sự thích nghi và khả năng đối phó liên tục của nhóm trước các biện pháp phòng thủ an ninh mạng.