🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

الجزء 2: التحقق من صحة الاختراق الذي تم رفضه من Oracle Cloud - تحليل المتابعة الخاص بـ CloudSek

في 21 مارس 2025، أشارت منصة xviGil التابعة لـ CloudSek إلى وجود تهديد كبير - ممثل تهديد يعرض 6 ملايين سجل تم تسريبه من Oracle Cloud للبيع. على الرغم من إنكار Oracle العلني، يكشف تحقيقنا المتعمق عن نقطة نهاية SSO للإنتاج المخترقة، مما أثر على أكثر من 140,000 مستأجر وكشف بيانات SSO وLDAP الحساسة. يوضح تقريرنا الأدلة التي تم التحقق منها على الخرق. في CloudSek، نعطي الأولوية للشفافية والاستعداد. لا تتحدى هذه المتابعة التفصيلية حالات الرفض الأولية فحسب، بل تزود الشركات بخطوات عملية لتقييم بيئاتها وتأمينها. اقرأ التقرير الكامل للكشف عن الأدلة وفهم التأثير وتقوية دفاعاتك.

راهول ساسي
March 24, 2025
Green Alert
Last Update posted on
August 21, 2025
ما وراء المراقبة: الحماية التنبؤية للمخاطر الرقمية باستخدام CloudSek

قم بحماية مؤسستك من التهديدات الخارجية مثل تسرب البيانات وتهديدات العلامة التجارية والتهديدات الناشئة عن الويب المظلم والمزيد. حدد موعدًا لعرض تجريبي اليوم!

Schedule a Demo
Table of Contents
Author(s)
Coauthors image
كوشيك بالم
Coauthors image
أنيرود باترا
Coauthors image
مايانك ستاناليكا
Coauthors image
روهيت نامبيار
Coauthors image
أبهيشيك ماثيو

ملخص تنفيذي

مقدمة

في 21 مارس 2025، قام مستخدم باسم روز87168 تم النشر على BreachForums، مدعيًا الوصول إلى خوادم تسجيل الدخول إلى Oracle Cloud وتقديم بيانات حساسة بما في ذلك بيانات اعتماد SSO و LDAP ومفاتيح OAuth2 ومعلومات العميل المستأجر للبيع. كان CloudSek بمساعدة CloudSek Nexus وسيبر HUMINT أول من تحقق من البيانات والأصالة وأبلغ الجمهور وعملائنا. نظرًا لأن البيانات المزعومة قد تؤدي إلى هجمات واسعة النطاق على سلسلة التوريد، فقد نشرنا أيضًا تقرير TLP Green لتحذير المجتمع. كما قمنا بإبلاغ Oracle في نفس اليوم عن طريق إرسال تقرير TLP RED. لقد نشرنا أيضًا أداة مجانية للتحقق مما إذا كانت مؤسستك مدرجة في قائمة الضحايا التي شاركها المهاجم.

https://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-records-for-sale-exfiltrated-from-oracle-cloud-affecting-over-140k-tenants

ردت Oracle، في وقت لاحق من نفس اليوم، بنفي قاطع: «لم يحدث أي خرق لـ Oracle Cloud.»

https://www.cnbctv18.com/technology/oracle-cloud-data-breach-6-million-records-exposed-cloudsek-1957742.htm

منذ أن كشفنا عن التهديد لأول مرة، حصلنا على العديد من الأسئلة التي قمنا بتغطيتها

ما هو كلاودسك؟

كيف تمكنا من تحليل الأصالة والتحقق منها في وقت قصير؟

المزيد من هذه الأسئلة في قسم الأسئلة الشائعة

نعتقد أنه كان هناك نقص في الحكم في نهاية Oracle، ونعتزم نشر المزيد من التفاصيل التي من شأنها مساعدة المجتمع وOracle على التحقيق في الحادث بشكل أفضل. في CloudSek، نؤمن بالشفافية والتحقق القائم على الأدلة - ليس لإثارة الذعر ولكن لتمكين التأهب، وهو ما كنا نفعله على مدار السنوات العشر الماضية.

تحديث - يرجى مراجعة قسم التحليل للحصول على معلومات محدثة

الخلفية

وبينما كان الفاعل المسؤول عن التهديد قادرًا على مشاركة عينة من قائمة تفاصيل العملاء، قدم ممثل التهديد أيضًا دليلًا على الهجوم عن طريق تحميل ملف تم إنشاؤه على «login.us2.oraclecloud.com» وأرشفة عنوان URL العام، مع البريد الإلكتروني للمهاجم داخل الملف النصي.

لقطة شاشة للملف النصي الذي تم تحميله من قبل ممثل التهديد على نقطة النهاية login.us2.oraclecloud.com - رابط

كان الخادم، الذي بدا أنه خدمة SSO، نشطًا منذ حوالي 30 يومًا. يتماشى هذا مع ادعاءات ممثل التهديد بأن الخادم المستهدف قد تمت إزالته بواسطة Oracle قبل أسابيع قليلة من الاختراق.

التحليل

معلومات من البحث

كان هدفنا التحقق مما إذا كانت نقطة النهاية المعنية تمثل أحد أصول إنتاج Oracle Cloud المشروعة، وما إذا كان المستأجرون الحقيقيون من العملاء قد تعرضوا للخطر بدلاً من مجرد اختبار البيانات.

لتشكيل الاستنتاج، بحثنا عن الآلاف من مصادر استخباراتنا للتوصل إلى الاستنتاجات التالية:

S.No Parts of the investigation Status
1 Confirmed evidence on what and how login.us2.oraclecloud.com was used with examples. Yes
2 Confirmed evidence that some of the domains in the sample data shared by TA to be actual oracle cloud customers and not dummy/canary users. Yes
3 Confirmed evidence that the server “login.us2.oraclecloud.com” was a production SSO setup. Yes

الدليل #1: الغرض من تسجيل الدخول.us2.oraclecloud.com

  1. لقد وجدنا مستودع GitHub العام المؤرشف الآن والذي تم تحميله بواسطة oracle-quickstart (وهي المنظمة الرسمية لشركة Oracle على Github) والذي يحتوي على إشارات إلى «login.us2.oraclecloud.com».

الغرض من البرنامج النصي:

  1. مصادقة OAuth2 - يستخدم البرنامج النصي»منحة أوراق اعتماد العميل» لمصادقة طلبات API.
  2. إنشاء الرمز المميز - يرسل طلب POST إلى عنوان URL هذا باستخدام client_id و secret_key (تم ترميز Base64).
  3. رأس التخويل - يتم بعد ذلك استخدام رمز الوصول الذي تم إرجاعه في طلبات API كرمز Bearer.

البرنامج النصي داخل مستودع GitHub، mpapihelper.py، يشير مباشرةً إلى login.us2.oraclecloud.com لإنشاء رمز الوصول إلى OAuth2.

سيتم استخدام الرمز المميز لاحقًا للتفاعل مع واجهة برمجة تطبيقات Oracle Cloud Marketplace التي تسهل إدارة قوائم السوق.

الدليل #2: نطاقات العملاء الحقيقية المتطابقة مع قائمة المهاجمين

  • متعدد مستودعات GitHub العامة تحتوي على بيانات اعتماد أو تكوينات مشفرة تشير إلى login.us2.oraclecloud.com، بما في ذلك:
Domain Observation
sbgtv.com Present in Threat actors leaked domain list
nexinfo.com Present in Threat actors leaked domain list
cloudbasesolutions.com Present in Threat actors leaked domain list
nucor-jfe.com Present in Threat actors leaked domain list
rapid4cloud.com Present in Threat actors leaked domain list

1: https://github.com/BhavaniPericherla/Selenium/blob/master/config.properties

  • الدومين: sbgtv.com
  • الحالة: موجود في قائمة المستأجرين المشتركة من قبل TA

2: https://github.com/Ejazkhan42/React-UI/blob/9f0b5e36f34c80d514b72af27e9d6973ff3fedf1/queries.js#L284

  • الدومين: nexinfo.com
  • الحالة: موجود في قائمة المستأجرين المشتركة من قبل TA

3: https://pdfslide.net/embed/v1/manual-del-portal-de-proveedor-supplier-portal-manual-del-portal-de-proveedor.html [غير نشط الآن]

السياق: كانت هذه الوثيقة بمثابة مرجع مفصل حول بوابة موردي الشركة. طلبت الوثيقة من المستخدمين تسجيل الدخول باستخدام نقطة نهاية تسجيل الدخول إلى Oracle (ehbm.login.us2.oraclecloud.com) المعنية.

  • الدومين: nucor-jfe.com
  • الحالة: موجود في قائمة المستأجرين المشتركة من قبل TA

4: https://github.com/juju/go-oracle-cloud/pull/1/commits/4200f51ee63563ab07bac3c038b29d294b6c81b8

  • المجال: حلول قاعدة السحابة. كوم
  • الحالة: موجود في قائمة المستأجرين المشتركة من قبل TA

5: مستند يُستخدم كـ «دليل مستخدم» لـ Oracle على رابيد فور كلاود تحتوي CDN، وهي الشريك الذهبي لشركة Oracle، على عنوان URL الخاص بـ OAM في قسم استكشاف الأخطاء وإصلاحها.

  • الدومين: rapid4cloud.com
  • الحالة: موجود في قائمة المستأجرين المشتركة من قبل TA

الدليل #3: كان «login.us2.oraclecloud.com» عبارة عن إعداد SSO للإنتاج

  1. يحتوي OneLogin، وهو مزود لحلول IAM، على مقالة تستند إلى المعرفة حول Oracle Fusion، توضح كيفية تكوين OneLogin لتوفير SSO لـ Oracle Fusion باستخدام SAML.

2: كان لدى Rainfocus، أحد شركاء النشر والترحيل في Oracle Cloud، الملف التالي على الجهاز الموقع الإلكتروني.

كما نرى أعلاه، ينصح الدليل المستخدمين بتسجيل الدخول إلى <identity-domain>.login.us2.oraclecloud.com/fed/idp/البيانات الوصفية لتنزيل البيانات الوصفية لمزود الهوية، مما يعزز حقيقة أن <identity-domain>. تسجيل الدخول. us2. oraclecloud.com يتم استخدامه في بيئات الإنتاج.

Update - Breach Analysis

Update: 25th March, 2025

The Threat Actor has now shared a 10,000-line sample to further substantiate their claims. Our analysis of this dataset has revealed several critical insights:

  1. Wide Impact Across Organisations – The sample alone contains data from 1,500+ unique organisations, indicating a significant breach.
  2. Authenticity of the Data – The volume and structure of the leaked information make it extremely difficult to fabricate, reinforcing the credibility of the breach.
  3. Production Access Indicators – Many affected organisations have tenantIDs in the format {tenant}-dev, {tenant}-test, and {tenant}, strongly suggesting that the Threat Actor has access to production environments as well.
  4. Exposure of Personal Emails – The dataset includes a substantial number of personal email addresses, likely due to organisations allowing SSO-based authentication for their users and customers.
  5. Ongoing Validation EffortsIndependent researchers who also received this file from the TA were able to verify the validity of the leak and confirm it is a legitimate breach.

We will continue monitoring the situation and provide further updates as we gather more intelligence.

التأثير

  • التعرض للبيانات الجماعية: يؤدي اختراق سجلات 6M، بما في ذلك البيانات الحساسة المتعلقة بالمصادقة، إلى زيادة مخاطر الوصول غير المصرح به والتجسس على الشركات.
  • تسوية بيانات الاعتماد: يمكن أن تؤدي كلمات مرور SSO وLDAP المشفرة، في حالة اختراقها، إلى تمكين المزيد من الاختراقات عبر بيئات Oracle Cloud.
  • طلبات الابتزاز والفدية: يقوم عامل التهديد بإكراه الشركات المتضررة على الدفع مقابل إزالة البيانات، مما يزيد من المخاطر المالية والمتعلقة بالسمعة.
  • مخاطر سلسلة التوريد: قد يؤدي الكشف عن ملفات JKS والملفات الرئيسية إلى تمكين المهاجمين من تحويل أنظمة المؤسسة المترابطة المتعددة واختراقها.

الاستصلاح

  • التناوب الفوري لبيانات الاعتماد: قم بتغيير جميع بيانات SSO و LDAP وبيانات الاعتماد المرتبطة، مما يضمن سياسات كلمات المرور القوية وإنفاذ MFA.
  • الاستجابة للحوادث والطب الشرعي: قم بإجراء تحقيق شامل لتحديد الوصول غير المصرح به المحتمل وتخفيف المزيد من المخاطر.
  • مراقبة معلومات التهديدات: تابع باستمرار منتديات الويب المظلم والممثلين المهددين للمناقشات المتعلقة بالبيانات المسربة.

التعليمات

ما هو كلاودسك؟

CloudSek، التي تأسست في عام 2015، هي شركة استخبارات إلكترونية متخصصة في تحليلات التهديدات التنبؤية، وحماية المخاطر الرقمية، ومراقبة سطح الهجوم، ومراقبة سلسلة التوريد. نحن نساعد المؤسسات في جميع أنحاء العالم على تحديد التهديدات الإلكترونية وتحديد أولوياتها من أجل الأمان القوي. تشمل قاعدة عملائنا ما لا يقل عن 10٪ من شركات Fortune 500 التي تعتمد على ذكائنا السياقي.

في CloudSek، نميز أنفسنا من خلال التركيز على الذكاء القائم على IAV بدلاً من IOC التقليدية. لدينا نهج متجه الهجوم الأولي (IAV) تمنع الهجمات قبل أن تكتسب موطئ قدم أولي في الشبكات من خلال تحديد نقاط الدخول المحتملة والتخفيف من حدتها. تساعد هذه المنهجية الاستباقية المؤسسات على إيقاف التهديدات في المرحلة الأولى من سلسلة الهجوم.

المزيد عنا على موقع جارتنر بير إنسايتس -

https://www.gartner.com/reviews/market/security-threat-intelligence-products-and-services/vendor/cloudsek/product/cloudsek-xvigil

كيف تمكنا من تحليل الأصالة والتحقق منها في وقت قصير؟

يستغرق التحليل أعلاه 2-3 دقائق فقط على منصة CloudSek Nexus. تسمح Nexus لمحترفي الأمن بطرح أي أسئلة تتعلق بأصولك وتهديداتك وسنقوم بفحص مئات المصادر وربطها وتحديد مقدار هذه التهديدات نيابة عنك. ألق نظرة على كلاودسك نيكسوس.

هل يمكن أن يكون هذا خادم تطوير/اختبار ببيانات وهمية؟

أ: بينما تحتوي بعض النطاقات الفرعية على «-test»، فإن البيانات المرتبطة بهذه البيئات تتضمن نطاقات الشركة الحقيقية وتفاعلات OAuth2 وبيانات اعتماد تسجيل الدخول. علاوة على ذلك، تتطابق النطاقات مع تلك الموجودة في قائمة الجهات الفاعلة في مجال التهديد، والتي تشمل عملاء Oracle المعروفين. هذا يجعل نظرية «خادم الاختبار» غير محتملة كتفسير كامل.

هل يمكن للمهاجم تصنيع هذه البيانات أو إعادة استخدامها؟

أ: في حين يقوم المهاجمون أحيانًا بتجميع البيانات من مصادر متعددة، فإن وجود بيانات اعتماد حديثة غير مفهرسة وتفاعلات خادم محددة يجعل هذا الأمر مستبعدًا للغاية. يؤدي تحميل ملف إلى نقطة نهاية تسجيل دخول Oracle المباشرة إلى تأكيد الوصول غير المصرح به.

هل ستصدر CloudSek التقرير الكامل والتحليل، وهل ستتعاون مع Oracle أو غيرها في هذا الشأن؟

أ: تقوم CloudSek بإصدار أجزاء رئيسية من تحليلها والأدلة التي تم التحقق منها بطريقة TLP-GREEN مسؤولة لإعلام المجتمع الأوسع وحمايته. ومع ذلك، لن يتم نشر مجموعة البيانات الكاملة والتفاصيل الحساسة لتجنب المزيد من الاستغلال أو الضرر. لقد شاركنا تقرير TLP-RED مع Oracle ونظل منفتحين على العمل مع Oracle وأصحاب المصلحة الآخرين ذوي الصلة لدعم تحقيق شامل ومسؤول في الحادث.

المراجع

Author

راهول ساسي

راهول ساسي هو المؤسس المشارك والرئيس التنفيذي لشركة CloudSek. الاتصال: https://www.linkedin.com/in/fb1h2s/

Predict Cyber threats against your organization

Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

خرق
Table of Content

ملخص تنفيذي

مقدمة

في 21 مارس 2025، قام مستخدم باسم روز87168 تم النشر على BreachForums، مدعيًا الوصول إلى خوادم تسجيل الدخول إلى Oracle Cloud وتقديم بيانات حساسة بما في ذلك بيانات اعتماد SSO و LDAP ومفاتيح OAuth2 ومعلومات العميل المستأجر للبيع. كان CloudSek بمساعدة CloudSek Nexus وسيبر HUMINT أول من تحقق من البيانات والأصالة وأبلغ الجمهور وعملائنا. نظرًا لأن البيانات المزعومة قد تؤدي إلى هجمات واسعة النطاق على سلسلة التوريد، فقد نشرنا أيضًا تقرير TLP Green لتحذير المجتمع. كما قمنا بإبلاغ Oracle في نفس اليوم عن طريق إرسال تقرير TLP RED. لقد نشرنا أيضًا أداة مجانية للتحقق مما إذا كانت مؤسستك مدرجة في قائمة الضحايا التي شاركها المهاجم.

https://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-records-for-sale-exfiltrated-from-oracle-cloud-affecting-over-140k-tenants

ردت Oracle، في وقت لاحق من نفس اليوم، بنفي قاطع: «لم يحدث أي خرق لـ Oracle Cloud.»

https://www.cnbctv18.com/technology/oracle-cloud-data-breach-6-million-records-exposed-cloudsek-1957742.htm

منذ أن كشفنا عن التهديد لأول مرة، حصلنا على العديد من الأسئلة التي قمنا بتغطيتها

ما هو كلاودسك؟

كيف تمكنا من تحليل الأصالة والتحقق منها في وقت قصير؟

المزيد من هذه الأسئلة في قسم الأسئلة الشائعة

نعتقد أنه كان هناك نقص في الحكم في نهاية Oracle، ونعتزم نشر المزيد من التفاصيل التي من شأنها مساعدة المجتمع وOracle على التحقيق في الحادث بشكل أفضل. في CloudSek، نؤمن بالشفافية والتحقق القائم على الأدلة - ليس لإثارة الذعر ولكن لتمكين التأهب، وهو ما كنا نفعله على مدار السنوات العشر الماضية.

تحديث - يرجى مراجعة قسم التحليل للحصول على معلومات محدثة

الخلفية

وبينما كان الفاعل المسؤول عن التهديد قادرًا على مشاركة عينة من قائمة تفاصيل العملاء، قدم ممثل التهديد أيضًا دليلًا على الهجوم عن طريق تحميل ملف تم إنشاؤه على «login.us2.oraclecloud.com» وأرشفة عنوان URL العام، مع البريد الإلكتروني للمهاجم داخل الملف النصي.

لقطة شاشة للملف النصي الذي تم تحميله من قبل ممثل التهديد على نقطة النهاية login.us2.oraclecloud.com - رابط

كان الخادم، الذي بدا أنه خدمة SSO، نشطًا منذ حوالي 30 يومًا. يتماشى هذا مع ادعاءات ممثل التهديد بأن الخادم المستهدف قد تمت إزالته بواسطة Oracle قبل أسابيع قليلة من الاختراق.

التحليل

معلومات من البحث

كان هدفنا التحقق مما إذا كانت نقطة النهاية المعنية تمثل أحد أصول إنتاج Oracle Cloud المشروعة، وما إذا كان المستأجرون الحقيقيون من العملاء قد تعرضوا للخطر بدلاً من مجرد اختبار البيانات.

لتشكيل الاستنتاج، بحثنا عن الآلاف من مصادر استخباراتنا للتوصل إلى الاستنتاجات التالية:

S.No Parts of the investigation Status
1 Confirmed evidence on what and how login.us2.oraclecloud.com was used with examples. Yes
2 Confirmed evidence that some of the domains in the sample data shared by TA to be actual oracle cloud customers and not dummy/canary users. Yes
3 Confirmed evidence that the server “login.us2.oraclecloud.com” was a production SSO setup. Yes

الدليل #1: الغرض من تسجيل الدخول.us2.oraclecloud.com

  1. لقد وجدنا مستودع GitHub العام المؤرشف الآن والذي تم تحميله بواسطة oracle-quickstart (وهي المنظمة الرسمية لشركة Oracle على Github) والذي يحتوي على إشارات إلى «login.us2.oraclecloud.com».

الغرض من البرنامج النصي:

  1. مصادقة OAuth2 - يستخدم البرنامج النصي»منحة أوراق اعتماد العميل» لمصادقة طلبات API.
  2. إنشاء الرمز المميز - يرسل طلب POST إلى عنوان URL هذا باستخدام client_id و secret_key (تم ترميز Base64).
  3. رأس التخويل - يتم بعد ذلك استخدام رمز الوصول الذي تم إرجاعه في طلبات API كرمز Bearer.

البرنامج النصي داخل مستودع GitHub، mpapihelper.py، يشير مباشرةً إلى login.us2.oraclecloud.com لإنشاء رمز الوصول إلى OAuth2.

سيتم استخدام الرمز المميز لاحقًا للتفاعل مع واجهة برمجة تطبيقات Oracle Cloud Marketplace التي تسهل إدارة قوائم السوق.

الدليل #2: نطاقات العملاء الحقيقية المتطابقة مع قائمة المهاجمين

  • متعدد مستودعات GitHub العامة تحتوي على بيانات اعتماد أو تكوينات مشفرة تشير إلى login.us2.oraclecloud.com، بما في ذلك:
Domain Observation
sbgtv.com Present in Threat actors leaked domain list
nexinfo.com Present in Threat actors leaked domain list
cloudbasesolutions.com Present in Threat actors leaked domain list
nucor-jfe.com Present in Threat actors leaked domain list
rapid4cloud.com Present in Threat actors leaked domain list

1: https://github.com/BhavaniPericherla/Selenium/blob/master/config.properties

  • الدومين: sbgtv.com
  • الحالة: موجود في قائمة المستأجرين المشتركة من قبل TA

2: https://github.com/Ejazkhan42/React-UI/blob/9f0b5e36f34c80d514b72af27e9d6973ff3fedf1/queries.js#L284

  • الدومين: nexinfo.com
  • الحالة: موجود في قائمة المستأجرين المشتركة من قبل TA

3: https://pdfslide.net/embed/v1/manual-del-portal-de-proveedor-supplier-portal-manual-del-portal-de-proveedor.html [غير نشط الآن]

السياق: كانت هذه الوثيقة بمثابة مرجع مفصل حول بوابة موردي الشركة. طلبت الوثيقة من المستخدمين تسجيل الدخول باستخدام نقطة نهاية تسجيل الدخول إلى Oracle (ehbm.login.us2.oraclecloud.com) المعنية.

  • الدومين: nucor-jfe.com
  • الحالة: موجود في قائمة المستأجرين المشتركة من قبل TA

4: https://github.com/juju/go-oracle-cloud/pull/1/commits/4200f51ee63563ab07bac3c038b29d294b6c81b8

  • المجال: حلول قاعدة السحابة. كوم
  • الحالة: موجود في قائمة المستأجرين المشتركة من قبل TA

5: مستند يُستخدم كـ «دليل مستخدم» لـ Oracle على رابيد فور كلاود تحتوي CDN، وهي الشريك الذهبي لشركة Oracle، على عنوان URL الخاص بـ OAM في قسم استكشاف الأخطاء وإصلاحها.

  • الدومين: rapid4cloud.com
  • الحالة: موجود في قائمة المستأجرين المشتركة من قبل TA

الدليل #3: كان «login.us2.oraclecloud.com» عبارة عن إعداد SSO للإنتاج

  1. يحتوي OneLogin، وهو مزود لحلول IAM، على مقالة تستند إلى المعرفة حول Oracle Fusion، توضح كيفية تكوين OneLogin لتوفير SSO لـ Oracle Fusion باستخدام SAML.

2: كان لدى Rainfocus، أحد شركاء النشر والترحيل في Oracle Cloud، الملف التالي على الجهاز الموقع الإلكتروني.

كما نرى أعلاه، ينصح الدليل المستخدمين بتسجيل الدخول إلى <identity-domain>.login.us2.oraclecloud.com/fed/idp/البيانات الوصفية لتنزيل البيانات الوصفية لمزود الهوية، مما يعزز حقيقة أن <identity-domain>. تسجيل الدخول. us2. oraclecloud.com يتم استخدامه في بيئات الإنتاج.

Update - Breach Analysis

Update: 25th March, 2025

The Threat Actor has now shared a 10,000-line sample to further substantiate their claims. Our analysis of this dataset has revealed several critical insights:

  1. Wide Impact Across Organisations – The sample alone contains data from 1,500+ unique organisations, indicating a significant breach.
  2. Authenticity of the Data – The volume and structure of the leaked information make it extremely difficult to fabricate, reinforcing the credibility of the breach.
  3. Production Access Indicators – Many affected organisations have tenantIDs in the format {tenant}-dev, {tenant}-test, and {tenant}, strongly suggesting that the Threat Actor has access to production environments as well.
  4. Exposure of Personal Emails – The dataset includes a substantial number of personal email addresses, likely due to organisations allowing SSO-based authentication for their users and customers.
  5. Ongoing Validation EffortsIndependent researchers who also received this file from the TA were able to verify the validity of the leak and confirm it is a legitimate breach.

We will continue monitoring the situation and provide further updates as we gather more intelligence.

التأثير

  • التعرض للبيانات الجماعية: يؤدي اختراق سجلات 6M، بما في ذلك البيانات الحساسة المتعلقة بالمصادقة، إلى زيادة مخاطر الوصول غير المصرح به والتجسس على الشركات.
  • تسوية بيانات الاعتماد: يمكن أن تؤدي كلمات مرور SSO وLDAP المشفرة، في حالة اختراقها، إلى تمكين المزيد من الاختراقات عبر بيئات Oracle Cloud.
  • طلبات الابتزاز والفدية: يقوم عامل التهديد بإكراه الشركات المتضررة على الدفع مقابل إزالة البيانات، مما يزيد من المخاطر المالية والمتعلقة بالسمعة.
  • مخاطر سلسلة التوريد: قد يؤدي الكشف عن ملفات JKS والملفات الرئيسية إلى تمكين المهاجمين من تحويل أنظمة المؤسسة المترابطة المتعددة واختراقها.

الاستصلاح

  • التناوب الفوري لبيانات الاعتماد: قم بتغيير جميع بيانات SSO و LDAP وبيانات الاعتماد المرتبطة، مما يضمن سياسات كلمات المرور القوية وإنفاذ MFA.
  • الاستجابة للحوادث والطب الشرعي: قم بإجراء تحقيق شامل لتحديد الوصول غير المصرح به المحتمل وتخفيف المزيد من المخاطر.
  • مراقبة معلومات التهديدات: تابع باستمرار منتديات الويب المظلم والممثلين المهددين للمناقشات المتعلقة بالبيانات المسربة.

التعليمات

ما هو كلاودسك؟

CloudSek، التي تأسست في عام 2015، هي شركة استخبارات إلكترونية متخصصة في تحليلات التهديدات التنبؤية، وحماية المخاطر الرقمية، ومراقبة سطح الهجوم، ومراقبة سلسلة التوريد. نحن نساعد المؤسسات في جميع أنحاء العالم على تحديد التهديدات الإلكترونية وتحديد أولوياتها من أجل الأمان القوي. تشمل قاعدة عملائنا ما لا يقل عن 10٪ من شركات Fortune 500 التي تعتمد على ذكائنا السياقي.

في CloudSek، نميز أنفسنا من خلال التركيز على الذكاء القائم على IAV بدلاً من IOC التقليدية. لدينا نهج متجه الهجوم الأولي (IAV) تمنع الهجمات قبل أن تكتسب موطئ قدم أولي في الشبكات من خلال تحديد نقاط الدخول المحتملة والتخفيف من حدتها. تساعد هذه المنهجية الاستباقية المؤسسات على إيقاف التهديدات في المرحلة الأولى من سلسلة الهجوم.

المزيد عنا على موقع جارتنر بير إنسايتس -

https://www.gartner.com/reviews/market/security-threat-intelligence-products-and-services/vendor/cloudsek/product/cloudsek-xvigil

كيف تمكنا من تحليل الأصالة والتحقق منها في وقت قصير؟

يستغرق التحليل أعلاه 2-3 دقائق فقط على منصة CloudSek Nexus. تسمح Nexus لمحترفي الأمن بطرح أي أسئلة تتعلق بأصولك وتهديداتك وسنقوم بفحص مئات المصادر وربطها وتحديد مقدار هذه التهديدات نيابة عنك. ألق نظرة على كلاودسك نيكسوس.

هل يمكن أن يكون هذا خادم تطوير/اختبار ببيانات وهمية؟

أ: بينما تحتوي بعض النطاقات الفرعية على «-test»، فإن البيانات المرتبطة بهذه البيئات تتضمن نطاقات الشركة الحقيقية وتفاعلات OAuth2 وبيانات اعتماد تسجيل الدخول. علاوة على ذلك، تتطابق النطاقات مع تلك الموجودة في قائمة الجهات الفاعلة في مجال التهديد، والتي تشمل عملاء Oracle المعروفين. هذا يجعل نظرية «خادم الاختبار» غير محتملة كتفسير كامل.

هل يمكن للمهاجم تصنيع هذه البيانات أو إعادة استخدامها؟

أ: في حين يقوم المهاجمون أحيانًا بتجميع البيانات من مصادر متعددة، فإن وجود بيانات اعتماد حديثة غير مفهرسة وتفاعلات خادم محددة يجعل هذا الأمر مستبعدًا للغاية. يؤدي تحميل ملف إلى نقطة نهاية تسجيل دخول Oracle المباشرة إلى تأكيد الوصول غير المصرح به.

هل ستصدر CloudSek التقرير الكامل والتحليل، وهل ستتعاون مع Oracle أو غيرها في هذا الشأن؟

أ: تقوم CloudSek بإصدار أجزاء رئيسية من تحليلها والأدلة التي تم التحقق منها بطريقة TLP-GREEN مسؤولة لإعلام المجتمع الأوسع وحمايته. ومع ذلك، لن يتم نشر مجموعة البيانات الكاملة والتفاصيل الحساسة لتجنب المزيد من الاستغلال أو الضرر. لقد شاركنا تقرير TLP-RED مع Oracle ونظل منفتحين على العمل مع Oracle وأصحاب المصلحة الآخرين ذوي الصلة لدعم تحقيق شامل ومسؤول في الحادث.

المراجع

راهول ساسي
راهول ساسي هو المؤسس المشارك والرئيس التنفيذي لشركة CloudSek. الاتصال: https://www.linkedin.com/in/fb1h2s/

راهول ساسي هو المؤسس المشارك والرئيس التنفيذي لشركة CloudSek. الاتصال: https://www.linkedin.com/in/fb1h2s/

Related Blogs