منذ 9 أغسطس 2025 وحتى أواخر سبتمبر، استغلت جهة فاعلة تهديدية ثغرة صفرية في برنامج Oracle E-Business Suite (EBS) لاختراق شبكات عشرات المؤسسات وسرقة بيانات حساسة، وفق تقرير مشترك صدر عن مجموعة استخبارات تهديدات جوجل (GTIG) وشركة مانديانت. التحقيق الأولي يشير إلى حملة واسعة النطاق تحمل بصمات ارتبطت بعلامة Cl0p في سلوكياتها التوسّعية والابتزازية، فيما لا تزال فرق الاستجابة تُقيّم مدى انتشار الاختراقات وتأثيرها الفعلي.
نطاق الحملة واكتشافها
قال جون هالتكويست، كبير المحللين في مجموعة استخبارات تهديدات جوجل: “لا نزال نقيّم نطاق الحادث، لكننا نعتقد أنه أثر على عشرات المؤسسات”. وأوضح التقرير أن أدلة نشاط مريب سُجلت منذ 10 يوليو 2025، بينما بدأت الاستغلالات الصريحة للثغرة صفرية المسماة CVE-2025-61882 (درجة CVSS: 9.8) تتصاعد منذ 9 أغسطس، مع موجة مكثفة من الرسائل الإلكترونية التي انطلقت في 29 سبتمبر 2025. أصدر أوراكل تصحيحات لسد الثغرة بعد اكتشاف الاستغلال.
أساليب التنفيذ والتقنيات المستخدمة
اعتمد المهاجمون سلسلة مركّبة من ثغرات وآليات استغلال للحصول على تنفيذ أوامر عن بعد على خوادم Oracle EBS، شملت: تزوير طلبات من جانب الخادم (SSRF)، وحقن CRLF (Carriage-Return Line-Feed)، وتجاوز المصادقة، وحقن قوالب XSL عبر وظيفة معاينة القوالب (Template Preview). استُغلت نقطة ضعف في المكوّن “/OA_HTML/SyncServlet” لتمكين تنفيذ حمولات XSL التي تضم سلاسل من حمولات جافا (Java) المدمجة.
الأدوات والبرمجيات الخبيثة المكتشفة
عثر المحللون على سلسلتين من حمولات جافا ضمن حمولات XSL:
-
GOLDVEIN.JAVA: نسخة جافا من محمل/قارئ يُصنَّف كـ downloader، يشبه محمولًا استُخدم سابقًا باسم GOLDVEIN (ظهر أولاً في ديسمبر 2024 مرتبطًا بحملات استغلال منتجات Cleo). يقوم بالاتصال بخوادم قيادة وتحكم لتحميل مرحلة تالية.
-
SAGEGIFT: محمل مشفّر بصيغة Base64 مخصّص لخوادم Oracle WebLogic يُستخدم لإطلاق SAGELEAF، وهو dropper يعمل في الذاكرة، والذي بعد ذلك ينشئ SAGEWAVE — فلتر خادم جافا servlet خبيث يسمح بتثبيت أرشيف ZIP مشفّر يحتوي على المرحلة التالية من البرمجيات الخبيثة. لوحظ تداخل في الحمولة الرئيسية مع وحدة سطر أوامر مرتبطة بباب خلفي معروف لدى جماعة يُشتبه بأنها FIN11 باسم GOLDTOMB.
كما سجل الفريق تنفيذ أوامر استطلاع متنوعة من حساب EBS المعياري “applmgr”، وتشغيل أوامر من عملية باش (bash) قُذِفت من عملية جافا تعمل بوساطة GOLDVEIN.JAVA.
مؤشرات الارتباط والتوصيف التكتيكي
لم تُصدر GTIG نسبة رسمية إلى مجموعة محددة، لكنها لفتت الانتباه إلى استخدام علامة Cl0p وسلوكيات ابتزاز بيانات مطابقة لأساليبهم التاريخية. حملات البريد الإلكتروني عالية الحجم التي انطلقت في 29 سبتمبر انطلقت من حسابات طرف ثالث مخترقة — ويُعتقد أن بيانات اعتماد هذه الحسابات بيعت في منتديات underground بعد جمعها بواسطة برمجيات سرقة معلومات (infostealers). إلى الآن، لم تُدرج ضحايا الحملة على موقع تسريبات Cl0p، وهو ما يتوافق مع سلوك سجلته الحملة في هجمات سابقة حيث ينتظر الفاعلون أسابيع قبل النشر.
وجدت أيضا تقاطعات في آثار استجابة لحوادث رُصدت في يوليو 2025 مع استغلال نُشر في مجموعة تيليغرام اسمها “Scattered LAPSUS$ Hunters” بتاريخ 3 أكتوبر 2025، لكن التحقيق لم يجد دليلاً كافياً لربط مجموعة LAPSUS$ بهذه الحملة. أشارت GTIG إلى أن أدوات ما بعد الاستغلال تحمل تشابهات مع برمجيات استخدمت في حملات يُشتبه بصلتها بـFIN11، مما يشير إلى أن نمط الاستهداف والاستغلال قد تكون له جذور تكتيكية مشتركة بين فاعلين مختلفين.
كخلاصة تقنية مختصرة: يعتمد المهاجمون على استهداف تطبيقات وجهات عامة تحتوي بيانات حساسة لتقليل حاجة الحركة الجانبية، مستخدمين ثغرات صفرية مجمعة ثم حملة ابتزاز موسّعة لجني المكاسب من البيانات المسروقة.
