导语:从近期的端口扫描数据来看,至少有200余个独立IP运行着带有“CentreStack-Login”HTTP标题的服务。
Clop勒索软件团伙(又名Cl0p)正发起新一轮数据窃取勒索攻击,目标为暴露在公网环境中的Gladinet CentreStack文件服务器。
Gladinet CentreStack可帮助企业无需VPN,通过网页浏览器、移动应用及映射驱动器,安全共享本地文件服务器中存储的文件。据Gladinet官方信息,CentreStack“被来自49个国家的数千家企业使用”。
今年4月以来,Gladinet已发布多轮安全更新,修复了多个曾被攻击利用的安全漏洞,其中部分为零日漏洞。
目前,Clop网络犯罪团伙正扫描并入侵暴露在公网的CentreStack服务器。据了解,攻击者会在被攻陷的服务器上留下勒索信。
但目前尚未有信息表明Clop利用了CentreStack的哪一漏洞实施入侵,无法确定该漏洞是零日漏洞,还是已被修复但受害服务器未完成补丁更新的已知漏洞。
从近期的端口扫描数据来看,至少有200余个独立IP运行着带有“CentreStack-Login”HTTP标题的服务,这些都是Clop的潜在攻击目标——该团伙正利用这些系统中一个未知的CVE漏洞(可能是n日漏洞或零日漏洞)发起攻击。
Clop的数据窃取攻击历史
Clop勒索软件团伙长期以安全文件传输产品为攻击目标。此前,该勒索团伙曾针对Accellion FTA、GoAnywhere MFT、Cleo及MOVEit Transfer文件共享服务器发起数据窃取攻击,其中MOVEit Transfer攻击影响了全球超2770家机构。
近期,自2025年8月初起,该团伙利用Oracle EBS的零日漏洞(CVE-2025-61882),从多家机构窃取敏感文件。受影响的包括哈佛大学、《华盛顿邮报》、GlobalLogic、宾夕法尼亚大学、罗技,以及美国航空子公司Envoy Air。
在攻陷目标系统、窃取敏感文件后,Clop会将被盗数据发布在其暗网泄露站点,同时提供种子文件(Torrent)供他人下载。
文章来源自:https://www.bleepingcomputer.com/news/security/clop-ransomware-targets-gladinet-centrestack-servers-for-extortion/如若转载,请注明原文地址
