احذر: حملة تصيد تخترق 80 مؤسسة عبر أدوات الإدارة عن بعد

كشف خبراء الأمن الرقمي عن حملة تصيد واسعة النطاق استهدفت أكثر من 80 منظمة، مستغلة أدوات الإدارة عن بعد لتأمين وصول دائم للأجهزة المخترقة.

ما هي حملة التصيد VENOMOUS#HELPER؟

رصد الباحثون نشاطاً متزايداً لحملة سيبرانية يطلق عليها اسم VENOMOUS#HELPER، والتي بدأت منذ أبريل 2025 على الأقل. تستهدف هذه الحملة بشكل أساسي المؤسسات في الولايات المتحدة، وقد نجحت بالفعل في اختراق أكثر من 80 جهة حتى الآن.

وفقاً لتقرير اطلعت عليه تيكبامين، فإن المهاجمين يعتمدون على استخدام برمجيات الإدارة والمراقبة عن بعد (RMM) المشروعة كطريقة لإنشاء وصول دائم إلى المضيفين المخترقين. ويُعتقد أن هذه العملية تهدف إلى العمل كوسطاء وصول أولي (IAB) أو تمهيد الطريق لهجمات فدية مستقبلية، نظراً لطبيعة الأدوات المستخدمة التي تمنح تحكماً كاملاً في الأجهزة.

كيف يتم استدراج الضحايا عبر البريد الإلكتروني؟

تبدأ العملية برسالة بريد إلكتروني احتيالية تنتحل صفة إدارة الضمان الاجتماعي الأمريكية (SSA). يُطلب من الضحية النقر على رابط مدمج للتحقق من عنوان بريده الإلكتروني أو تنزيل بيان رسمي مزعوم. ويتميز هذا الهجوم بالتكتيكات التالية:

• توجيه الضحايا إلى موقع تجاري مكسيكي مخترق (gruta.com.mx) لتجاوز فلاتر البريد العشوائي.
• استخدام نطاقات خاضعة لسيطرة المهاجمين لاستضافة الملفات الخبيثة.
• تغليف البرمجيات الخبيثة في ملفات تنفيذية تبدو كوثائق رسمية لخداع المستخدمين.

ما هي الأدوات المستخدمة في هذا الهجوم السيبراني؟

يعتمد المهاجمون على استراتيجية "الوصول المزدوج القوي" لضمان بقائهم داخل الشبكة حتى لو تم اكتشاف أحد البرامج. وتشمل هذه الأدوات:

• برنامج SimpleHelp: أداة إدارة عن بعد تُستخدم للتحكم في الأجهزة وتجاوز الدفاعات.
• برنامج ScreenConnect: يعمل كقناة احتياطية لضمان استمرار الاتصال بالضحية.
• برمجية JWrapper: تُستخدم لتغليف ملفات ويندوز التنفيذية وإعطائها مظهراً موثوقاً.

بمجرد فتح الملف، تقوم البرمجية بتثبيت نفسها كخدمة نظام في ويندوز مع خاصية الاستمرار في "وضع الأمان" (Safe Mode). كما تعتمد على تقنية "كلب الحراسة" لإعادة تشغيل نفسها تلقائياً في حال إيقافها من قبل المستخدم أو النظام.

التفاصيل التقنية وعملية التخفي

أوضح خبراء تيكبامين أن المهاجمين يستخدمون تقنيات متطورة للتخفي، حيث تقوم البرمجية بفحص المنتجات الأمنية المسجلة على الجهاز كل 67 ثانية، وتراقب نشاط المستخدم كل 23 ثانية. كما تطلب أداة سيمبل هيلب (SimpleHelp) امتيازات خاصة مثل "SeDebugPrivilege" للوصول الكامل إلى سطح المكتب والتفاعل معه بشكل كامل.

كيف تحمي مؤسستك من هجمات التصيد المتطورة؟

تتطلب مواجهة هذا النوع من الهجمات التي تستغل أدوات مشروعة يقظة أمنية عالية، وذلك من خلال:

• مراقبة استخدام برامج الإدارة عن بعد مثل سكرين كونيكت (ScreenConnect) ومنع غير المصرح به منها.
• تفعيل المصادقة الثنائية (2FA) ومنع تنفيذ الملفات غير الموقعة رقمياً.
• تدريب الموظفين على اكتشاف رسائل البريد الإلكتروني التي تطلب صلاحيات إدارية أو تنزيل ملفات مشبوهة.

في النهاية، يظل الوعي البشري هو خط الدفاع الأول ضد أي حملة تصيد تستهدف اختراق البيانات الحساسة للمؤسسات.