針對上週爆發的勒索軟體Clop利用Oracle E-Business Suite(EBS)零時差漏洞CVE-2025-61882攻擊事故,在傳出Google威脅情報團隊(GTIG)及資安業者Mandiant介入調查後,引起資安圈高度關注,許多資安業者也參與調查,現在有新的結果出爐:駭客疑似從兩個月前開始從事相關活動。
資安業者CrowdStrike指出,這起攻擊行動很有可能是名為Graceful Spider(也被稱為TA505、Hive0065、Gold Tahoe)的駭客組織所為,最早利用漏洞的時間可追溯到8月9日。不過,該公司認為,可能還有其他駭客組織參與利用CVE-2025-61882的活動。
針對先前傳出向多家企業高階主管發送勒索信的駭客身分,就是Graceful Spider。原因是在某個暗示Scattered Spider、Lapsus$(CrowdStrike稱為Slippy Spider)、ShinyHunters進行合作的Telegram頻道當中,一名成員張貼EBS的漏洞訊息,並對Graceful Spider的手法進行批判。不過,對於該名成員如何取得這項漏洞,以及頻道成員是否將其用於實際攻擊,CrowdStrike表示並不清楚,但他們提到,Oracle在CVE-2025-61882資安公告提及的入侵指標(IoC),就是根據上述Telegram頻道成員提供的概念驗證程式(PoC)而來。
究竟攻擊者如何將CVE-2025-61882用於實際攻擊?首先他們發出HTTP請求,從而繞過身分驗證。其中部分活動裡,CrowdStrike確認攻擊者是針對EBS的管理帳號而來。
接著,為了執行特定的程式碼,攻擊者針對XML Publisher Template Manager元件下手,發出請求並上傳、執行惡意的XSLT範本檔案。一旦範本檔案成功執行,Java網頁伺服器就會與攻擊者的基礎設施建立連線,攻擊者以此遠端在EBS載入Web Shell,以此執行命令及建立持續存取的管道。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
