佳能遭Clop勒索软件通过Oracle E-Business Suite零日漏洞攻击
佳能官方确认,在利用Oracle电子商务套件(EBS)关键零日漏洞的大规模黑客攻击活动中成为目标。这次由臭名昭著的Clop勒索软件团伙策划的攻击已影响全球数十家大型组织。
该团伙在其暗网泄露网站上列出了佳能,并公布了该公司的域名以及其他据称的受害者。虽然泄露网站上的名单引发了大规模数据泄露的担忧,但佳能澄清影响范围已得到控制。这家相机和影像巨头表示,入侵仅影响其某家子公司内的特定环境。
据该公司称,攻击者并未加密更广泛的网络或中断全球运营,这使此次事件与佳能在2020年遭受的毁灭性Maze勒索软件攻击有所区别。
佳能安全团队检测到入侵后立即隔离了受影响的系统。在与SecurityWeek分享的声明中,公司强调泄露未扩散至佳能美国子公司运营的Web服务器之外。快速遏制可能防止了Clop团伙经常用于勒索的敏感客户数据或知识产权被盗。
“我们已确认事件仅影响Web服务器,并已采取安全措施恢复服务,”佳能表示。“此外,我们正在继续进一步调查以确保没有其他影响。”
Oracle EBS零日漏洞利用
此次攻击活动中使用的漏洞被追踪为CVE-2025-61882,这是Oracle电子商务套件中的一个关键安全缺陷。该零日漏洞允许未经身份验证的攻击者在易受攻击的服务器上远程执行任意代码。
安全研究人员发现,被追踪为Graceful Spider的Clop附属组织最早在2025年8月就开始利用此漏洞植入网页外壳并在Oracle于10月发布补丁前窃取数据。
| 详情 | 描述 |
|---|---|
| CVE ID | CVE-2025-61882 |
| CVSS评分 | 9.8(严重) |
| 受影响产品 | Oracle电子商务套件(EBS) |
| 受影响版本 | 12.2.3至12.2.14 |
| 漏洞类型 | 未经身份验证的远程代码执行(RCE) |
| 利用向量 | 网络(无需用户交互) |
此事件是更大规模“move-it-style”勒索浪潮的一部分,Clop利用该零日漏洞入侵了近30个组织。该组织没有立即部署加密恶意软件,而是专注于数据窃取,随后于2025年9月下旬开始向高管发送勒索电子邮件。
这些电子邮件威胁要泄露被盗文件,除非支付赎金。该组织的泄露网站目前列出了包括佳能在内的域名,表明这些实体在自动利用阶段已成功被入侵。
入侵指标(IoCs)
| 指标类型 | 值 | 描述 |
|---|---|---|
| IPv4地址 | 200.107.207.26 | 恶意命令与控制(C2) IP |
| IPv4地址 | 185.181.60.11 | 观察到的利用源IP |
| SHA256哈希 | 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d | 包含利用工具的恶意zip存档 |
| SHA256哈希 | 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b | 用于服务器端利用的Python脚本 |
| 文件名 | FileUtils.java | 恶意网页外壳下载器 |
建议安全团队扫描其Oracle EBS环境中的这些指标,并立即应用官方补丁以防止进一步未经授权的访问。