تستهدف مجموعة برمجيات الفدية Clop حاليًا خوادم مشاركة الملفات Gladinet CentreStack عبر الإنترنت، في حملة جديدة لابتزاز البيانات. تأتي هذه الخطوة لتؤكد نمط المجموعة في استغلال حلول نقل الملفات.
تستفيد الحملة من ثغرات أمنية متعددة في CentreStack ومنتجها الشقيق Triofox، بما في ذلك نقاط ضعف تم اكتشافها مؤخرًا تسمح للمهاجمين بالوصول غير المصرح به إلى بيانات الشركات الحساسة. تشير بيانات مسح المنافذ الأخيرة إلى وجود أكثر من 200 عنوان IP فريد تشغل أنظمة تحمل عنوان “CentreStack – Login” على HTTP، مما يجعلها أهدافًا محتملة لمجموعة Clop.
يستغل المهاجمون ثغرة أمنية جديدة (zero-day) أو ثغرة غير معروفة (n-day) لاختراق هذه الأنظمة. وقد لاحظ محللو Curated Intelligence أن مستجيبي الحوادث من مجتمعهم واجهوا حملة الابتزاز الجديدة هذه في العديد من المؤسسات، مما يثير مخاوف بشأن التأثير الواسع لهذه الهجمات.
حملة Clop تستغل خوادم Gladinet CentreStack لسرقة البيانات
تتبع هذه الحملة النهج المتبع لدى مجموعة Clop في استهداف خوادم نقل الملفات. فقد سبق للمجموعة أن اخترقت منصات مثل Oracle EBS، Cleo FTP، MOVEit، CrushFTP، SolarWinds Serv-U، PaperCut، و GoAnywhere. يمثل التركيز على CentreStack توسيعًا لاستراتيجية الاستهداف الخاصة بهم، من خلال استغلال الأنظمة التي تستخدمها الشركات بشكل شائع للتخزين الآمن للملفات والمشاركة.
تفاصيل الثغرات الأمنية
تم تحديد ثغرتين أمنيتين خطيرتين في منتجات CentreStack و Triofox. الأولى، CVE-2025-11371، هي ثغرة إدراج ملفات محلية غير مصادق عليها تسمح للمهاجمين باسترداد مفتاح الجهاز من ملف Web.config الخاص بالتطبيق. باستخدام تقنيات اجتياز الدليل، يمكن للممثلين المهددين الوصول إلى أي ملف على الخادم عن طريق استغلال نقطة النهاية المعرضة للخطر في /storage/t.dn.
الثانية، CVE-2025-14611، تتضمن مفاتيح تشفير ثابتة في تنفيذ AES، مما يتيح للمهاجمين فك تشفير تذاكر الوصول وتزوير تذاكرهم الخاصة.
التحليل الفني لسلسلة الهجوم
تبدأ عملية الاستغلال عندما يستهدف المهاجمون خادم CentreStack عبر نقطة النهاية المعرضة للخطر /storage/t.dn. من خلال معالجة معلمة الاستعلام بتسلسلات اجتياز الدليل، يقومون باسترداد ملف Web.config الذي يحتوي على مفاتيح الجهاز الثابتة. يتيح الحصول على مفتاح الجهاز للمهاجمين إجراء هجمات إلغاء تسلسل ViewState لتحقيق تنفيذ تعليمات برمجية عن بعد.
تزيد المفاتيح المشفرة الثابتة في CVE-2025-14611 من تمكينهم من إنشاء تذاكر وصول دائمة مع ضبط الطوابع الزمنية على عام 9999، مما يمنحهم وصولًا غير محدود فعليًا إلى النظام المخترق. تسمح هذه التقنيات لمجموعة Clop باستخراج البيانات دون مصادقة، مما يجعل الكشف والوقاية صعبًا على المؤسسات المتأثرة.
يجب على المؤسسات التي تشغل CentreStack أو Triofox التحديث فورًا إلى الإصدار 16.12.10420.56791 وتدوير مفاتيح أجهزتها. يجب على المسؤولين أيضًا مراجعة سجلات خادم الويب بحثًا عن طلبات GET المشبوهة التي تحتوي على “vghpI7EToZUDIZDdprSubL3mTZ2″، والذي يمثل المسار المشفر لملف Web.config.