تشهد أدوات المراقبة والإدارة عن بُعد (RMM) تصاعداً ملحوظاً في إساءة الاستخدام من قبل المهاجمين السيبرانيين، مما يمثل تهديداً متزايداً لكل من الشركات ومقدمي الخدمات التقنية. ففي حين تُعد هذه الأدوات ضرورية لإدارة وصيانة البنية التحتية التقنية بفعالية، إلا أنها باتت تُستخدم كسلاح لتنفيذ هجمات واسعة النطاق.
وبحسب تقرير حديث، شهد عام 2025 زيادة هائلة في استغلال أدوات RMM، حيث تجاوزت النسبة 277%. هذا التحول في استراتيجيات المهاجمين يدل على الاعتماد المتزايد على الأساليب الخبيثة التي تتجاوز الطرق التقليدية مثل اختراق جدران الحماية.
استغلال أدوات RMM: تهديد متزايد للأمن السيبراني
تُعرف أدوات المراقبة والإدارة عن بُعد (RMM) بقدرتها على تسهيل عمليات تكنولوجيا المعلومات، مثل تحديث الأنظمة، وتشخيص الأعطال، وإدارة الشبكات، مما يوفر كفاءة وسيطرة كبيرة لفرق تقنية المعلومات. إلا أن هذه المميزات ذاتها تجعلها هدفاً جذاباً للمجرمين السيبرانيين.
فقد بدأ المهاجمون في استغلال هذه الأدوات الموثوقة ضد المنظمات التي تعتمد عليها. ومن خلال استغلال برامج الإدارة عن بُعد المثبتة بشكل شرعي، يمكن للمهاجمين الحصول على وصول مباشر إلى بيئات الضحايا دون إثارة شكوك أنظمة الأمان، وذلك بحسب تقرير “Huntress 2026 Cyber Threat Report”.
كيف تتسلل أدوات RMM إلى الأنظمة؟
كشف محللو “Huntress” عن نمط حاسم يكمن وراء هذا الاتجاه؛ حيث أن البرمجيات التنفيذية لأدوات RMM الشرعية لا تظهر غالباً كملفات خبيثة لأنظمة الكشف التقليدية. هذه الأنظمة مصممة للتعرف على التوقيعات المعروفة للبرمجيات الضارة مثل برامج الفدية أو أدوات الوصول عن بُعد (RATs).
ولكن، نظراً لأن أدوات RMM هي أدوات تقنية مشروعة، فإن ملفاتها التنفيذية لا تتطابق مع هذه التواقيع، مما يسمح لها بالمرور دون أن يتم اكتشافها، وتبدو كأنها نشاط ليومي طبيعي لعمليات تقنية المعلومات. وأشار الباحثون إلى أن أكثر من 50% من الحالات التي تضمنت نشاطاً مشبوهاً لأداة “Atera RMM” ارتبطت بشكل مباشر بهجمات برامج الفدية.
ومع ذلك، فإن خطورة هذا الوضع تكمن في سرعة انتشار الضرر. بمجرد أن يتمكن المهاجم من اختراق أداة RMM، فإنه يكتسب القدرة على تنفيذ جميع وظائفها، بما في ذلك أتمتة المهام، وتنفيذ الأوامر، والتنقل عبر الشبكة، ونشر برامج الفدية. وفقاً للتقرير، يمكن أن يتطور الضرر الناجم عن برامج الفدية في غضون ساعتين فقط عند استغلال أدوات مثل “RustDesk” أو “Atera”.
الوصول الأول: دور الهندسة الاجتماعية والتصيد الاحتيالي
يبدأ الوصول الأولي في معظم الحالات من خلال العامل البشري. يظل التصيد الاحتيالي والهندسة الاجتماعية من أكثر نقاط الدخول شيوعاً، حيث يصمم المهاجمون رسائل بريد إلكتروني مقنعة، مثل طلبات التوقيع الإلكتروني، أو تنبيهات الفواتير، أو روابط مشاركة الملفات.
عندما ينقر الضحية على هذه الروابط، معتقداً أنه يفتح مستنداً عادياً، يقوم في الواقع بتثبيت وكيل RMM متصل مباشرة بالمهاجم. وفي اللحظة التي يتم فيها تثبيت هذا الوكيل، يتم إنشاء اتصال تفاعلي مباشر.
كيف يستغل المهاجمون الوصول عبر RMM ويتجنبون الكشف؟
بمجرد الدخول، يعتمد المهاجمون بشكل كبير على الثقة التي تضعها المنظمات في الأدوات المعتمدة. تفترض معظم فرق تقنية المعلومات أن أي جلسة تعمل عبر أداة مدرجة في قائمة السماح هي جلسة آمنة، وهذا بالضبط ما يعتمد عليه المهاجمون. في إحدى الحالات التي وثقتها وحدة عمليات الأمن (SOC) في Huntress، استخدم جهة فاعلة للتهديد بيانات اعتماد RMM مسروقة للوصول إلى بيئة مزود خدمة مُدار (MSP). ومن هناك، قام بتنفيذ أوامر الاستطلاع وحاول تعطيل وكيل Huntress لتجنب الكشف.
ولأن بيانات الاعتماد تلك تخص فني دعم تقني، لكان المهاجم قد وصل إلى كل بيئة عميل يديرها هذا الـ MSP لو لم تتم احتواء الاختراق خلال 12 دقيقة فقط. في سيناريوهات سلسلة التوريد، تتضاعف المخاطر بسرعة؛ فحساب MSP واحد تم اختراقه يمكن أن يؤثر على عشرات المنظمات في وقت واحد.
يجب على المدافعين التوقف عن الثقة بمجرد وجود الأداة في النظام، والبدء في التحقق من سلوكها – معرفة المستخدمين الذين يتصلون، وفي أي أوقات، ومن أي مواقع. أي جلسة تقع خارج نطاق هذا الخط الأساسي المحدد تستدعي تدقيقاً أعمق، حتى لو كانت الأداة التي تعمل من خلالها تحمل اسماً موثوقاً.
يجب على المنظمات الاحتفاظ بسجل مفصل لكل أداة RMM معتمدة، بما في ذلك تجزئات الملفات التنفيذية ونقاط النهاية المسموح بالاتصال بها، بحيث يمكن للبرامج غير المألوفة أو الاتصالات بخوادم غير معروفة أن تثير تنبيهات فورية. يساعد التدريب المنتظم على الوعي الأمني الموظفين على تمييز رسائل التصيد الاحتيالي قبل أن تصل وكالة RMM خبيثة إلى جهاز. يمكن لبناء ثقافة عمل تشجع على الإبلاغ عن الأنشطة غير العادية أن يقلل الفجوة بين الإصابة والاكتشاف بشكل أسرع من أي تقنية أمنية واحدة بمفردها.