أعلنت وحدتا Google Mandiant وGoogle Threat Intelligence Group (GTIG) عن تتبع نشاط سيبراني جديد يُعتقد أنه مرتبط بعصابة Cl0p المعروفة بهجمات الفدية والابتزاز المالي. وتتمثل الحملة في إرسال رسائل ابتزاز إلى مسؤولين تنفيذيين بعدد من المؤسسات، مع الادعاء بسرقة بيانات حساسة من أنظمة Oracle E-Business Suite.
وقالت جينيفيف ستارك، رئيسة قسم استخبارات الجرائم الإلكترونية في GTIG، إن النشاط بدأ في أو قبل 29 سبتمبر 2025، لكن التحقيقات ما زالت في بدايتها ولم يتم التحقق بعد من صحة هذه المزاعم.
أدلة على ارتباط الحملة بـ FIN11
وصف تشارلز كارماكال، المدير التقني في Mandiant، الحملة بأنها “واسعة النطاق” اعتمدت على مئات الحسابات المخترقة، مشيرًا إلى وجود دلائل على صلتها بمجموعة FIN11، وهي إحدى المجموعات الفرعية ضمن TA505، التي اشتهرت منذ عام 2020 بتنفيذ هجمات فدية وتوزيع برمجيات خبيثة مثل FlawedAmmyy وFRIENDSPEAK وMIXLABEL.
وأضاف كارماكال أن رسائل الابتزاز تضمنت بيانات اتصال ثبت أنها مدرجة أيضًا في موقع تسريب البيانات التابع لعصابة Cl0p، ما يرجح أن المجموعة تقف وراء الهجوم أو أن منفذي الحملة يستغلون اسمها لتعزيز مصداقيتهم.
طرق الوصول الأولي
لا يزال أسلوب الوصول الأولي غير واضح، غير أن تقارير بلومبرغ نقلت عن شركة Halycon أن المهاجمين ربما استغلوا ثغرة في وظيفة إعادة تعيين كلمات المرور الافتراضية داخل منافذ Oracle E-Business Suite المواجهة للإنترنت، بعد أن تمكنوا من اختراق حسابات بريد إلكتروني للمستخدمين والحصول على بيانات اعتماد صالحة.
سجل حافل لعصابة Cl0p
تعد Cl0p من أكثر العصابات الإجرامية نشاطًا خلال السنوات الأخيرة، حيث ارتبط اسمها بسلسلة هجمات كبرى استغلت ثغرات يوم الصفر في منصات مثل Accellion FTA وSolarWinds Serv-U FTP وFortra GoAnywhere MFT وProgress MOVEit Transfer، ما أدى إلى اختراق آلاف المؤسسات حول العالم.
وتحث Google جميع المؤسسات على مراجعة بيئاتها التقنية بدقة بحثًا عن أي مؤشرات على نشاط مريب، في ظل استمرار التحقيقات بشأن مدى ارتباط هذه الحملة بعصابة Cl0p.
