جوجل ومانديانت تكشفان حملة ابتزاز عالمية تستهدف سرقة بيانات العملاء

أعلنت جوجل (Google) ومانديانت (Mandiant) عن كشف حملة ابتزاز إلكتروني واسعة النطاق استهدفت سرقة بيانات العملاء عبر استغلال ثغرات في حزمة الأعمال الإلكترونية (Oracle E‑Business Suite – Oracle EBS)، في هجوم تقني بدأ نشاطه منذ يوليو 2025 وتصاعد إلى حملة علنية أُطلقت في 29 سبتمبر/أيلول 2025.

وقالت مصادر تقنية إن الحملة أرسلت «كمية كبيرة» من رسائل البريد الإلكتروني الابتزازية إلى مسؤولين تنفيذيين في مؤسسات متعددة، تزعم حدوث اختراقات في بيئات Oracle EBS، وهددت بنشر ما وصفته المهاجمون بالبيانات المسروقة ما لم تُدفع فدية. وتضمّنت رسائل الابتزاز عناوين اتصال سبق ربطها بمواقع تسريبات سابقة، من بينها [email protected] و[email protected]، المرتبطة بعلامة الابتزاز CL0P.

وفي تحقيق مشترك فني أجرته جوجل (Google) ومانديانت (Mandiant)، رصد المحققون نشاط استغلال تقنيًا بدأ مبكرًا في يوليو 2025، وربما يعود إلى ثغرة يوم الصفر المسجلة الآن تحت الرقم CVE‑2025‑61882. وأفاد المحققون بأن بعض الحالات شهدت استخراج «كمية كبيرة من البيانات» من أنظمة المتضررين.

توضح التحليلات الفنية أن المهاجمين استخدموا سلاسل استغلال متعددة تستهدف مكونات حساسة داخل Oracle EBS، مثل UiServlet وSyncServlet، مع اعتماد تقنيات متقدمة منها تزوير الطلب من جانب الخادم (SSRF) وتجاوز المصادقة وحقن قوالب XSL، ما مكّنهم من تنفيذ تعليمات برمجية عن بُعد وزرع عمليات Java متعددة المراحل في ذاكرة الخوادم.

وبحسب تفصيلات فنية، استخدم المهاجمون قوالب XSL مرمّزة بصيغة Base64 لتحميل برمجيات خبيثة تعمل في الذاكرة مباشرةً، ومن بين الحمولات التي تم تحديدها GOLDVEIN.JAVA (برنامج تنزيل يستدعي حمولات المرحلة الثانية من خوادم قيادة وتحكم) وسلسلة طبقية أُطلق عليها اسم SAGE، التي قامت بتثبيت مرشحات Java servlet دائمة لتمكين استغلال لاحق.

وأكدت التحقيقات أن المهاجمين استغلّوا حساب نظامي في EBS باسم “applmgr” لاستكشاف الأنظمة جمع معلومات الشبكة والنظام، ثم تنصيب ملفات خبيثة أخرى، مستخدمين أوامر shell لفحص بيئة النظام مثل ip addr وnetstat -an، وحتى أوامر اتصال عكسية أشارت إلى عناوين IP محددة استخدمت في الهجوم.

تم تحديد عناوين IP مشاركة في محاولات الاستغلال، من بينها 200.107.207.26 و161.97.99.49، بينما ذُكرت عناوين 162.55.17.215:443 و104.194.11.200:443 كخوادم قيادة وتحكم لحمولة GOLDVEIN.JAVA.

ورغم أن مجموعة استخبارات التهديدات (GTIG) التابعة لـجوجل (Google) لم تربط العملية رسميًا باسم جماعة محددة، فإن نمط الحملة واتساعها يتطابق مع حملات سابقة نسبت إلى مجموعة FIN11، وعلامة الابتزاز CL0P، التي اشتهرت باستغلال ثغرات يوم الصفر في نظم نقل الملفات المُدارة (مثل MOVEit وGoAnywhere وAccellion FTA) وسرقة كميات ضخمة من البيانات.

وأشارت مانديانت (Mandiant) إلى أن أحد الحسابات المخترقة المستخدمة لإرسال رسائل الابتزاز استُخدم في هجمات سابقة مرتبطة بـFIN11، ما يعزز الشبه التكتيكي بين الحملة الحالية وهجمات سابقة.

في ردّها على الحادث، صرّحت أوراكل (Oracle) بأن بعض الثغرات استُصلحت في يوليو 2025، لكنها أصدرت تحديثات طارئة جديدة في 4 أكتوبر 2025 لمعالجة ثغرات إضافية، وحثّت الشركة عملاءها على تطبيق أحدث التحديثات الحرجة (Critical Patch Updates) والبقاء على مستوى التصحيحات كاملًا لمنع أي استغلال.

ودعت فرق الأمن الرقمي الشركات إلى إجراءات فورية منها: حظر حركة الإنترنت الخارجية عن خوادم EBS، مراقبة جداول قاعدة البيانات ذات الصلة مثل XDO_TEMPLATES_B وXDO_LOBS (خاصة السجلات التي تبدأ بـ “TMP” أو “DEF”)، ومتابعة طلبات HTTP إلى نقاط النهاية الحساسة مثل /OA_HTML/SyncServlet و**/OA_HTML/configurator/UiServlet**، بالإضافة إلى فحص تفريغات الذاكرة لاكتشاف أي حمولات Java تعمل في الذاكرة.

وتحذر جوجل (Google) ومانديانت (Mandiant) من أن مجموعات مرتبطة بعلامة CL0P ستستمر على الأرجح في تكريس مواردها لاكتشاف واستغلال ثغرات يوم الصفر الجديدة، ما يجعل اليقظة السيبرانية الدائمة والتحديث الفوري للتصحيحات أمرا حاسمًا لحماية البيانات الحساسة.