文章总结： Clop勒索软件正扫描并攻击公网暴露的GladinetCentreStack服务器，利用未知漏洞窃取数据。尽管官方已修复多个漏洞，攻击者可能利用零日漏洞或未修补的漏洞入侵。鉴于Clop此前针对MOVEit等产品的攻击记录，建议用户立即检查补丁状态并限制服务器公网访问。 综合评分： 86 文章分类： 恶意软件,威胁情报,漏洞预警

Clop勒索软件发起数据窃取攻击：Gladinet CentreStack成目标

胡金鱼

嘶吼专业版

2025年12月26日 14:00 北京

Clop勒索软件团伙（又名Cl0p）正发起新一轮数据窃取勒索攻击，目标为暴露在公网环境中的Gladinet CentreStack文件服务器。

Gladinet CentreStack可帮助企业无需VPN，通过网页浏览器、移动应用及映射驱动器，安全共享本地文件服务器中存储的文件。据Gladinet官方信息，CentreStack“被来自49个国家的数千家企业使用”。

今年4月以来，Gladinet已发布多轮安全更新，修复了多个曾被攻击利用的安全漏洞，其中部分为零日漏洞。

目前，Clop网络犯罪团伙正扫描并入侵暴露在公网的CentreStack服务器。据了解，攻击者会在被攻陷的服务器上留下勒索信。

但目前尚未有信息表明Clop利用了CentreStack的哪一漏洞实施入侵，无法确定该漏洞是零日漏洞，还是已被修复但受害服务器未完成补丁更新的已知漏洞。

从近期的端口扫描数据来看，至少有200余个独立IP运行着带有“CentreStack-Login”HTTP标题的服务，这些都是Clop的潜在攻击目标——该团伙正利用这些系统中一个未知的CVE漏洞（可能是n日漏洞或零日漏洞）发起攻击。

Clop的数据窃取攻击历史

Clop勒索软件团伙长期以安全文件传输产品为攻击目标。此前，该勒索团伙曾针对Accellion FTA、GoAnywhere MFT、Cleo及MOVEit Transfer文件共享服务器发起数据窃取攻击，其中MOVEit Transfer攻击影响了全球超2770家机构。

近期，自2025年8月初起，该团伙利用Oracle EBS的零日漏洞（CVE-2025-61882），从多家机构窃取敏感文件。受影响的包括哈佛大学、《华盛顿邮报》、GlobalLogic、宾夕法尼亚大学、罗技，以及美国航空子公司Envoy Air。

在攻陷目标系统、窃取敏感文件后，Clop会将被盗数据发布在其暗网泄露站点，同时提供种子文件（Torrent）供他人下载。

参考及来源：https://www.bleepingcomputer.com/news/security/clop-ransomware-targets-gladinet-centrestack-servers-for-extortion/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼《Clop勒索软件发起数据窃取攻击：Gladinet CentreStack成目标》