الولايات المتحدة: سرقة بيانات عشرات الشركات بسبب ثغرة أمنية في شركة أوراكل

حذر خبراء الأمن السيبراني في شركة جوجل مؤخرا من حملة هجوم واسعة النطاق نفذتها مجموعة القراصنة Clop، مستهدفة برنامج Oracle E-Business Suite، مما أدى إلى سرقة البيانات من عشرات المؤسسات.

ويعتبر هذا بمثابة الإشارة الأولى إلى أن نطاق الحملة قد يمتد على مستوى العالم.

وبحسب جوجل، استغلت مجموعة Clop ثغرة أمنية خطيرة (يوم الصفر) في Oracle E-Business Suite، وهي منصة برمجيات الأعمال المستخدمة لإدارة بيانات العملاء والمالية والموارد البشرية.

اضطرت شركة Oracle إلى إصدار تصحيح طارئ لوقف الاستغلال المستمر.

تم تحديد هذه الثغرة الأمنية باسم CVE-2025-61882، وتتمتع بدرجة خطورة 9.8/10، وتسمح للمهاجمين بتنفيذ التعليمات البرمجية عن بعد دون مصادقة، فقط عن طريق الوصول عبر بروتوكول HTTP.

بمجرد استغلال هذه الثغرة بنجاح، يمكن للمخترق الحصول على التحكم الكامل في المعالجة المتزامنة لنظام Oracle E-Business Suite.

وبحسب المحللين، بدأت حملة الهجوم في 10 يوليو/تموز 2025، أي قبل ثلاثة أشهر من اكتشاف المنظمات الأولى لعلامات الاختراق في أوائل أكتوبر/تشرين الأول.

وبعد ذلك، تلقى المسؤولون التنفيذيون في العديد من الشركات الأمريكية رسائل إلكترونية تطلب فدية، حيث ادعى القراصنة أنهم حصلوا على ملفات بيانات حساسة مسروقة من أنظمتهم.

وقالت جوجل إن مجموعة كلوب كانت العقل المدبر الرئيسي للحملة، التي كانت وراء سلسلة من هجمات برامج الفدية واسعة النطاق التي استغلت ثغرات اليوم صفر في أدوات نقل الملفات مثل MOVEit و Cleo و GoAnywhere.

وتشير العديد من المؤشرات الفنية أيضًا إلى وجود رابط بين هذه الحملة ومجموعة FIN11، وهي عصابة جرائم إلكترونية ذات دوافع مالية، إلى جانب Scattered Lapsus$ Hunters.

وأكد تشارلز كارماكال، كبير مسؤولي التكنولوجيا في Mandiant-Google Cloud، أن رسائل البريد الإلكتروني التي تطلب فدية تم إرسالها من مئات حسابات البريد الإلكتروني المخترقة، بما في ذلك حساب واحد على الأقل كان مرتبطًا سابقًا بنشاط FIN11.

في البداية، نشر روب دوهارت، كبير مسؤولي الأمن في شركة أوراكل، إشعارًا يزعم أن الثغرات الأمنية تم إصلاحها في يوليو، مما يعني أن الهجمات قد انتهت، ولكن تم إزالة الإشعار لاحقًا.

بعد أيام قليلة، اضطرت شركة أوراكل للاعتراف بأن المتسللين ما زالوا يستغلون برمجياتها لسرقة بيانات شخصية ووثائق الشركة. فأصدرت أوراكل على الفور تحديثًا طارئًا جديدًا، مؤكدةً وجود ثغرة اليوم صفر.

نشرت شركة Google عناوين البريد الإلكتروني ومؤشرات الاختراق (IoCs) والإرشادات الفنية لمساعدة متخصصي الأمن السيبراني في التحقق مما إذا كانت أنظمة Oracle الخاصة بهم قد تعرضت للاختراق.

تصر شركة أوراكل على أن بيانات دفع العملاء لم تتأثر، لكن الخبراء يحذرون من أن بيانات الموظفين والمعلومات التشغيلية ربما تكون قد تسربت.

يوصي خبراء الأمن الشركات بتحديث أحدث إصدار من Oracle E-Business Suite على الفور؛ ومراقبة سجلات الوصول إلى HTTP والأنشطة غير المعتادة المتعلقة بالمعالجة المتزامنة بالإضافة إلى إجراء تدقيق جنائي إذا اشتبهوا في وجود اختراق.

تُظهر حملة الهجوم هذه مرة أخرى الخطر المتزايد الناجم عن الثغرات الأمنية التي لا يمكن اكتشافها في برامج المؤسسات، وتؤكد على الحاجة إلى التصحيح السريع والمراقبة الاستباقية في سياق الجرائم الإلكترونية المتطورة بشكل متزايد.

المصدر: https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp