يقوم مجرمو الإنترنت بتوزيع أدوات المراقبة والإدارة عن بُعد (RMM) الخبيثة بشكل متزايد عبر مواقع إلكترونية وهمية تحاكي صفحات تحميل البرامج الشهيرة. تستهدف هذه الحملة هذه المرة برامج معروفة مثل Notepad++ و7-Zip، مما يضلل المستخدمين لتثبيت أدوات وصول عن بعد بدلاً من البرامج التي كانوا يسعون لتنزيلها.
تسمح أدوات RMM هذه للمهاجمين بالسيطرة الكاملة على الأنظمة المخترقة، وتنفيذ الأوامر عن بعد، ونشر حمولات برمجية خبيثة إضافية. يعتمد الهجوم على خداع المستخدمين الذين يصلون إلى هذه المواقع الاحتيالية، غالبًا عبر إعلانات مضللة أو تلاعب بنتائج محركات البحث.
التهديدات الحديثة: أدوات RMM وهمية
تحاكي المواقع الإلكترونية المزيفة بشكل دقيق مظهر وتصميم مواقع توزيع البرامج الرسمية، مما يجعل اكتشافها صعبًا على المستخدم العادي. عند محاولة تنزيل برامج مشروعة مثل Notepad++ أو 7-Zip، تقوم هذه المواقع الوهمية بتسليم أدوات إدارة عن بعد شرعية، مثل LogMeIn Resolve أو PDQ Connect، والتي يعيد المهاجمون استغلالها لأغراض خبيثة.
بمجرد تثبيت هذه الأدوات، تسجل في البنية التحتية الخاصة بها، مما ينشئ اتصالًا دائمًا يستغله المهاجمون للحفاظ على الوصول. وقد لاحظ محللون في ASEC زيادة ملحوظة في الهجمات التي تستغل أدوات RMM خلال مرحلة الإصابة الأولية.
خطر أدوات RMM على الأمن السيبراني
على عكس البرامج الضارة التقليدية، غالبًا ما تتجنب تطبيقات التحكم عن بعد الشرعية هذه برامج مكافحة الفيروسات، مما يشكل تحديًا كبيرًا لفرق الأمن. وقد وثق الباحثون حالات نشر فيها المهاجمون LogMeIn Resolve وPDQ Connect لتنفيذ أوامر PowerShell وتثبيت برامج تجسس (backdoor)، مما يخلق مسارات متعددة لاختراق النظام وسرقة البيانات.
آلية الإصابة ونشر الوصول عن بعد
تعتمد عملية الإصابة على تكتيكات الهندسة الاجتماعية التي تستغل ثقة المستخدم في العلامات التجارية المعروفة للبرامج. تعرض المواقع الوهمية أزرار تنزيل مقنعة، وأرقام إصدارات، وخيارات تثبيت مشابهة للصفحات الرسمية. وعندما يقوم المستخدم بتشغيل المثبت الذي تم تنزيله، فإنه يقوم عن غير قصد بتثبيت LogMeIn Resolve أو PDQ Connect بدلاً من الأداة المتوقعة.
توفر أدوات RMM هذه ميزات مثل الدعم عن بعد، وإدارة التحديثات، ومراقبة النظام — وهي قدرات مصممة لمديري تكنولوجيا المعلومات ولكن يسيئ المهاجمون استخدامها للوصول غير المصرح به. بعد اكتمال التثبيت، تسجل أدوات RMM هذه في البنية التحتية السحابية الخاصة بها، مما يمكّن المهاجمين من الاتصال عن بعد دون مصادقة إضافية.
تنفيذ حمولات برمجية خبيثة
يقوم المهاجمون بعد ذلك بتنفيذ أوامر PowerShell عبر واجهة RMM لتنزيل وتثبيت PatoRAT، وهو برنامج تجسس يوفر وصولاً مستمراً حتى لو تمت إزالة أداة RMM لاحقًا. يضمن هذا النهج متعدد المراحل استمرار السيطرة على الأنظمة المخترقة ويسمح للمهاجمين بنشر برامج الفدية، أو سرقة بيانات الاعتماد، أو إنشاء نقاط ارتكاز في شبكات الشركات.
يجب على المستخدمين تنزيل البرامج من المواقع الرسمية فقط والتحقق من التوقيعات الرقمية والشهادات قبل التثبيت. يجب على المؤسسات تطبيق حلول الكشف والاستجابة لنقاط النهاية (EDR) القادرة على مراقبة نشاط أدوات RMM وتحديد أنماط الوصول عن بعد المشبوهة التي تشير إلى اختراق محتمل.