أداة CTRL الخبيثة تخطف RDP عبر ملفات LNK

أداة CTRL الخبيثة تستهدف مستخدمي ويندوز عبر ملفات LNK متخفية، وتسرق الاعتمادات وتخطف جلسات RDP بأنفاق FRP بصمت، مع واجهة تصيد تشبه Windows Hello.

وفقاً لرصد تيكبامين، ظهرت هذه الحملة عبر اختصارات Windows مصممة لتبدو كأنها مجلدات مفاتيح خاصة، ما يدفع الضحية للنقر عليها دون شك. بمجرد التفاعل يبدأ تحميل سلسلة مراحل مشفرة تقود إلى تثبيت مجموعة CTRL المبنية على .NET.

كيف تنتشر أداة CTRL الخبيثة عبر ملفات LNK؟

تعتمد الحملة على خدعة أيقونة المجلد واسم ملف يوحي بالأمان، ثم تُشغّل أمراً مخفياً في PowerShell لبدء التهيئة. هذا الأسلوب يرفع من نجاح الهندسة الاجتماعية خصوصاً في بيئات العمل التي تتبادل مفاتيح الوصول.

• تشغيل PowerShell مخفي من ملف LNK.
• إزالة آليات الاستمرارية القديمة من Startup.
• فك ترميز حمولة Base64 وتشغيلها في الذاكرة.
• الاتصال بخادم التحكم وتجهيز المرحلة التالية.

بنية التحميل متعددة المراحل

المرحلة الوسيطة تختبر الاتصال بـ hui228.ru على المنفذ 7000 وتستدعي الحمولات التالية. تم رصد خادم مفتوح على العنوان 146.19.213.155 في فبراير 2026، ما يوضح أن البنية كانت متاحة علناً لفترة.

• تعديل قواعد الجدار الناري للسماح بالاتصال.
• إنشاء مهام مجدولة لضمان الاستمرارية.
• إضافة مستخدم محلي بامتيازات خلفية.
• تشغيل خادم cmd.exe على المنفذ 5267.

ما الذي تفعله البرمجية داخل ويندوز؟

جوهر الحزمة هو الملف ctrl.exe الذي يعمل كمحمّل .NET ويُطلق منصة إدارة CTRL المدمجة. الاتصال بين العميل والخادم يتم عبر Windows named pipe، ما يبقي حركة أوامر C2 محلياً.

يعمل الملف بوضعين، خادم على جهاز الضحية وعميل على جهاز المهاجم، ويتم التحكم عبر وسائط سطر الأوامر، ما يقلل الحركة الشبكية ويجعل الاكتشاف أصعب.

قدرات المراقبة وسرقة البيانات

• جمع معلومات النظام والتكوينات الأساسية.
• تشغيل واجهة تصيد تحاكي Windows Hello لسرقة الاعتمادات.
• تشغيل مسجل مفاتيح يكتب إلى C:\Temp\keylog.txt.
• استخراج البيانات وإرسالها عبر النفق العكسي.

كيف يستخدم المهاجمون أنفاق FRP وخطف RDP؟

يوفر FRP قناة عكسية تتيح للمهاجم الوصول عن بعد دون كشف مباشر للوجهة. بعد التثبيت يُشغّل المشغل العميل ctrl.exe من خلال جلسة RDP الممررة عبر النفق.

هذا التصميم يجعل كل الأوامر محلية بينما يمر عبر الشبكة فقط اتصال RDP، ما يعقّد الرصد التقليدي ويزيد من خطورة خطف RDP داخل الشبكات الحساسة.

ماذا يعني ذلك للمؤسسات والمستخدمين؟

تكمن الخطورة في أن الملف يبدو شرعياً ويستغل الثقة في الاختصارات، لذلك تصبح الوقاية مزيجاً من الوعي والمراقبة التقنية. تنصح تيكبامين بتشديد سياسات الوصول وتقليل الاعتماد على RDP المفتوح.

• حظر تشغيل ملفات LNK من البريد أو المشاركات الخارجية.
• مراقبة أوامر PowerShell غير المعتادة.
• تقييد RDP وتفعيل MFA للحسابات الحساسة.
• تدقيق الحسابات المحلية والمهام المجدولة.
• فلترة الاتصالات الصادرة غير المعروفة.

في النهاية، تؤكد أداة CTRL الخبيثة أن الهجمات متعددة المراحل أصبحت أكثر تعقيداً، وأن حماية ويندوز تتطلب تحديثات مستمرة ورصداً استباقياً.