Tập đoàn mã độc tống tiền Clop ransomware, nổi tiếng với các chiến dịch tấn công quy mô lớn nhắm vào các tổ chức trên toàn cầu, gần đây đã công bố Oracle trên trang rò rỉ dữ liệu dark web của mình. Nhóm này cáo buộc đã thành công xâm nhập vào các hệ thống nội bộ của gã khổng lồ công nghệ, đánh dấu một diễn biến đáng lo ngại trong bối cảnh an ninh mạng toàn cầu.

Diễn biến này là một phần của chiến dịch tống tiền quy mô lớn, lợi dụng một lỗ hổng zero-day nghiêm trọng trong Oracle E-Business Suite (EBS). Lỗ hổng này được định danh là CVE-2025-61882, cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực.

Chiến dịch Tống tiền của Clop Ransomware nhắm mục tiêu vào Oracle E-Business Suite

Bối cảnh và Mức độ Xâm phạm

Nhóm tấn công, được theo dõi với tên gọi Graceful Spider, khẳng định đã đánh cắp dữ liệu nhạy cảm từ Oracle và hàng chục khách hàng cao cấp của họ. Sự kiện này thể hiện một mức độ leo thang đáng kể trong các cuộc tấn công chuỗi cung ứng, gợi nhớ đến vụ việc MOVEit trước đây. Việc một tập đoàn công nghệ lớn như Oracle bị nhắm mục tiêu bởi Clop ransomware cho thấy sự tinh vi và khả năng tiếp cận sâu rộng của nhóm.

Các cuộc tấn công chuỗi cung ứng như thế này có thể gây ra hậu quả nghiêm trọng, không chỉ cho Oracle mà còn cho toàn bộ hệ sinh thái khách hàng phụ thuộc vào các sản phẩm và dịch vụ của họ. Dữ liệu bị đánh cắp có thể bao gồm thông tin tài chính, thông tin cá nhân của khách hàng, dữ liệu sở hữu trí tuệ, và nhiều loại dữ liệu nhạy cảm khác.

CVE-2025-61882: Lỗ hổng Zero-day Nghiêm trọng trong Oracle EBS

Vector tấn công chính xoay quanh một lỗ hổng remote code execution (RCE) nghiêm trọng, không yêu cầu xác thực trong Oracle E-Business Suite. Lỗ hổng này, được gán mã CVE-2025-61882, cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống mục tiêu mà không cần cung cấp bất kỳ thông tin đăng nhập hợp lệ nào. Điều này biến nó thành một mục tiêu cực kỳ hấp dẫn cho các nhóm Clop ransomware và các tác nhân đe dọa khác.

Tính chất unauthenticated RCE đồng nghĩa với việc bất kỳ ai có thể truy cập mạng tới máy chủ EBS đều có khả năng khai thác lỗ hổng này. Mức độ nghiêm trọng của lỗ hổng được đánh giá rất cao, vì nó cung cấp cho kẻ tấn công quyền kiểm soát trực tiếp lên hệ thống từ xa mà không cần bất kỳ bước xác thực nào.

Thông tin từ các nhà nghiên cứu bảo mật chỉ ra rằng các chi nhánh của Clop ransomware đã bắt đầu khai thác lỗ hổng này từ rất sớm, cụ thể là vào tháng 8 năm 2025. Thời điểm này diễn ra vài tháng trước khi Oracle chính thức phát hành bản vá vào tháng 10 năm 2025, xác nhận tính chất zero-day của lỗ hổng. Điều này mang lại cho kẻ tấn công một khoảng thời gian đáng kể để thực hiện các chiến dịch xâm nhập và đánh cắp dữ liệu một cách lén lút.

Phân tích Kỹ thuật của Lỗ hổng và Chuỗi Khai thác

Chi tiết Chuỗi Khai thác (Exploit Chain)

Chuỗi khai thác cụ thể nhắm mục tiêu vào điểm cuối OA_HTML/SyncServlet để bỏ qua cơ chế xác thực. Bước này là cốt lõi, cho phép kẻ tấn công truy cập vào các chức năng nhạy cảm mà không cần thông tin đăng nhập hợp lệ. Bằng cách thao túng yêu cầu đến SyncServlet, kẻ tấn công có thể giả mạo hoặc bỏ qua các kiểm tra xác thực thông thường.

Sau khi bỏ qua xác thực, việc chèn các template XSLT độc hại được thực hiện thông qua điểm cuối OA_HTML/RF.jsp. XSLT (Extensible Stylesheet Language Transformations) là một ngôn ngữ để chuyển đổi tài liệu XML. Kỹ thuật XSLT template injection cho phép kẻ tấn công đưa vào và thực thi mã độc thông qua các template XSLT được xử lý bởi máy chủ. Khi được xử lý, mã độc này có thể thực thi các lệnh tùy ý trên máy chủ.

Đặc tính “pre-auth” của lỗ hổng là yếu tố then chốt, cho phép các tác nhân đe dọa xâm nhập các máy chủ mà không cần có bất kỳ thông tin xác thực hợp lệ nào. Khi đã xâm nhập, chúng có thể giành được quyền kiểm soát hoàn toàn đối với dữ liệu ERP nhạy cảm. Đây là một kịch bản rủi ro cao vì dữ liệu ERP thường chứa thông tin tài chính, nhân sự và hoạt động kinh doanh cốt lõi của một tổ chức.

Tác động Hệ thống và Khả năng Kiểm soát

Với khả năng thực thi mã từ xa và bỏ qua xác thực, kẻ tấn công đã có được quyền kiểm soát toàn diện đối với các hệ thống Oracle E-Business Suite bị ảnh hưởng. Mức độ kiểm soát này không chỉ bao gồm khả năng truy cập và đánh cắp dữ liệu mà còn cả khả năng thao túng hoặc xóa dữ liệu, cài đặt mã độc bổ sung (như backdoor), hoặc tạo tài khoản người dùng độc hại, gây ra gián đoạn hoạt động nghiêm trọng. Đối với các tổ chức phụ thuộc vào EBS cho các hoạt động kinh doanh thiết yếu, việc mất kiểm soát như vậy có thể dẫn đến thiệt hại tài chính và uy tín to lớn.

Danh sách Nạn nhân và Chỉ số Thỏa hiệp (IOCs)

Các Tổ chức bị Ảnh hưởng và Bằng chứng Rò rỉ Dữ liệu

Bằng chứng từ trang rò rỉ của Clop ransomware cho thấy trạng thái “PAGE CREATED” cho ORACLE.COM. Tên của Oracle xuất hiện cùng với các thực thể lớn khác như MAZDA.COM, HUMANA.COM, và Washington Post. Việc Oracle Corporation tự bị liệt kê cho thấy chính nhà cung cấp có thể đã trở thành nạn nhân của lỗ hổng phần mềm của mình, có khả năng làm lộ dữ liệu nội bộ của công ty.

Các nạn nhân của chiến dịch này đã báo cáo việc nhận được email tống tiền từ các địa chỉ cụ thể. Những email này đe dọa sẽ công bố các hồ sơ tài chính và cá nhân nếu các yêu cầu tiền chuộc không được đáp ứng. Điều này nhấn mạnh bản chất kép của cuộc tấn công: không chỉ xâm nhập mạng mà còn sử dụng dữ liệu đánh cắp để gây áp lực tài chính và uy tín.

Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)

Trong chiến dịch tống tiền liên quan đến Clop ransomware và lỗ hổng CVE-2025-61882, các chỉ số thỏa hiệp sau đây đã được ghi nhận:

• Địa chỉ email tống tiền: support@pubstorm[.]com

Các tổ chức nên theo dõi các chỉ số này và cấu hình hệ thống bảo mật (ví dụ: bộ lọc email, IPS/IDS) để phát hiện và ngăn chặn các mối đe dọa tương tự. Việc phát hiện sớm các IOC có thể giúp giảm thiểu thiệt hại từ các cuộc tấn công của Clop ransomware và các nhóm tấn công khác.

Khuyến nghị và Biện pháp Giảm thiểu

Cập nhật Bản vá và Quản lý Lỗ hổng

Trước bối cảnh các nhóm như Clop ransomware liên tục khai thác các lỗ hổng zero-day, việc áp dụng bản vá kịp thời là vô cùng cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công. Oracle đã phát hành bản vá cho CVE-2025-61882 vào tháng 10 năm 2025. Các quản trị viên hệ thống và chuyên gia an toàn thông tin cần ưu tiên cập nhật các hệ thống Oracle E-Business Suite lên phiên bản đã vá càng sớm càng tốt để loại bỏ rủi ro bị khai thác. Việc trì hoãn cập nhật có thể khiến tổ chức trở thành mục tiêu dễ dàng.

Tham khảo thêm thông tin chi tiết về lỗ hổng CVE-2025-61882 trên cơ sở dữ liệu quốc gia về lỗ hổng bảo mật: NVD – CVE-2025-61882

Chiến lược Bảo vệ Dữ liệu và Hệ thống ERP

Ngoài việc vá lỗi, các tổ chức cần triển khai một chiến lược bảo mật toàn diện cho các hệ thống ERP nhạy cảm như Oracle E-Business Suite. Điều này bao gồm:

• Giám sát liên tục: Triển khai các giải pháp Phát hiện và Phản hồi Điểm cuối (EDR) và Hệ thống Phát hiện Xâm nhập (IDS) để theo dõi hoạt động bất thường và phát hiện các dấu hiệu xâm nhập mạng sớm nhất.
• Phân đoạn mạng: Cách ly các hệ thống ERP khỏi các mạng khác để hạn chế sự lây lan của các cuộc tấn công nếu một phân đoạn bị xâm nhập.
• Sao lưu dữ liệu: Thực hiện sao lưu dữ liệu thường xuyên và an toàn, đặc biệt là dữ liệu ERP quan trọng, để đảm bảo khả năng khôi phục sau sự cố mã độc tống tiền hoặc mất mát dữ liệu.
• Kiểm tra bảo mật định kỳ: Thực hiện kiểm tra thâm nhập và đánh giá lỗ hổng bảo mật thường xuyên để phát hiện và khắc phục các điểm yếu tiềm ẩn trước khi chúng bị kẻ tấn công khai thác.
• Quản lý quyền truy cập: Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) và xác thực đa yếu tố (MFA) cho tất cả các tài khoản truy cập hệ thống ERP.