تحقيقات Google Mandiant حول موجة جديدة من الابتزاز المرتبطة بـ Cl0p
02 أكتوبر 2025رافي لاكشمانان – برمجيات الفدية / معلومات التهديد
كشفت Google Mandiant ومجموعة Google Threat Intelligence (GTIG) عن تتبعهم لمجموعة جديدة من الأنشطة المحتملة المرتبطة بجهة تهديد مدفوعة ماليًا تُعرف باسم Cl0p.
تشمل الأنشطة الضارة إرسال رسائل ابتزاز إلى التنفيذيين في مختلف المؤسسات، مدعين أنهم سرقوا بيانات حساسة من نظام Oracle E-Business Suite الخاص بهم.
قالت جينيفيف ستارك، رئيسة تحليل المعلومات في عمليات الجرائم الإلكترونية في GTIG، لـ The Hacker News: “بدأت هذه الأنشطة في أو قبل 29 سبتمبر 2025، لكن خبراء Mandiant لا يزالون في المراحل الأولى من عدة تحقيقات، ولم يتمكنوا بعد من إثبات الادعاءات التي قدمتها هذه المجموعة”.
استراتيجية استهداف الفرص
أضافت ستارك أن الاستهداف هو فرصة، بدلاً من التركيز على صناعات معينة، مشيرة إلى أن هذا الأسلوب يتماشى مع الأنشطة السابقة المرتبطة بموقع تسريب بيانات Cl0p.
وصف تشارلز كارماكال، المدير التنفيذي للتكنولوجيا في Mandiant، الأنشطة الجارية بأنها “حملة بريد إلكتروني عالية الحجم” تم إطلاقها من مئات الحسابات المخترقة، مع وجود أدلة تشير إلى أن أحد هذه الحسابات كان مرتبطًا سابقًا بأنشطة من مجموعة FIN11، وهي جزء من مجموعة TA505.
وفقًا لـ Mandiant، شاركت FIN11 في هجمات برمجيات الفدية والابتزاز منذ عام 2020. في السابق، تم ربطها بتوزيع عائلات برمجيات خبيثة مختلفة مثل FlawedAmmyy وFRIENDSPEAK وMIXLABEL.
أضاف كارماكال: “تحتوي الرسائل الإلكترونية الضارة على معلومات الاتصال، وقد تحققنا من أن العنوانين المحددين المقدمين مدرجين أيضًا علنًا على موقع تسريب بيانات Cl0p (DLS)”. “تشير هذه الخطوة بقوة إلى وجود ارتباط ما مع Cl0p، وأنهم يستفيدون من التعرف على العلامة التجارية لعمليتهم الحالية”.
ومع ذلك، قالت Google إنها لا تملك أي دليل خاص بها لتأكيد الروابط المزعومة، على الرغم من التشابه في الأساليب التي لوحظت في هجمات Cl0p السابقة. كما تحث الشركة المؤسسات على التحقيق في بيئاتها بحثًا عن أدلة على نشاط جهة التهديد.
طرق الوصول الأولية
ليس من الواضح حاليًا كيف يتم الحصول على الوصول الأولي. ومع ذلك، وفقًا لـ Bloomberg، يُعتقد أن المهاجمين قد قاموا باختراق رسائل البريد الإلكتروني للمستخدمين واستغلال وظيفة إعادة تعيين كلمة المرور الافتراضية للحصول على بيانات اعتماد صالحة لبوابات Oracle E-Business Suite المتاحة على الإنترنت، استنادًا إلى المعلومات التي شاركتها Halycon.
عند التواصل للتعليق، أخبرت Oracle The Hacker News أنها “على علم بأن بعض عملاء Oracle E-Business Suite (EBS) قد تلقوا رسائل ابتزاز” وأن تحقيقها الجاري قد وجد “استخدامًا محتملاً لثغرات تم تحديدها سابقًا والتي تم معالجتها في تحديث التصحيح الهام في يوليو 2025”.
توصيات Oracle
حث روب دوهارت، رئيس الأمن في Oracle Corporation، العملاء على تطبيق أحدث تحديث تصحيح هام لحماية أنفسهم من التهديد. ومع ذلك، لم تحدد الشركة الثغرات التي يتم استغلالها بشكل نشط.
في السنوات الأخيرة، تم ربط مجموعة Cl0p، التي تُعتبر عالية النشاط، بعدد من موجات الهجمات التي تستغل ثغرات يوم الصفر في منصات Accellion FTA وSolarWinds Serv-U FTP وFortra GoAnywhere MFT وProgress MOVEit Transfer، مما أدى إلى اختراق آلاف المؤسسات بنجاح.
تحديث
قالت شركة الأمن السيبراني Halcyon، في تقرير نُشر يوم الخميس، إن المهاجمين يستغلون وظيفة إعادة تعيين كلمة المرور الافتراضية للحصول على بيانات اعتماد صالحة. بشكل محدد، يعتمد ذلك على حسابات Oracle EBS المحلية، متجاوزًا حماية SSO بسبب عدم وجود MFA على هذه الحسابات، مما يمكّن الجهات الفاعلة من التهديد من تفعيل إعادة تعيين كلمات المرور عبر حسابات البريد الإلكتروني المخترقة والحصول على وصول مستخدم صالح.
قالت في تنبيه: “تتجاوز الحسابات المحلية ضوابط SSO المؤسسية وغالبًا ما تفتقر إلى MFA، مما يترك آلاف المؤسسات معرضة للخطر”. “وصلت مطالب الفدية إلى 50 مليون دولار، حيث قدم المهاجمون دليلًا على الاختراق بما في ذلك لقطات شاشة وأشجار ملفات”.
(تم تحديث القصة بعد النشر لتضمين رد من Oracle وGoogle، وتفاصيل إضافية من Halcyon.)
