كشفت فرق الأمن السيبراني عن حملة بريد إلكتروني احتيالي متحركة تستغل مستندات PDF مزيفة لخداع المستخدمين وحثهم على تثبيت برامج المراقبة والإدارة عن بُعد (RMM). هذه البرامج، التي تُستخدم غالباً لأغراض الدعم الفني المشروعة، يتم استغلالها الآن في هجمات تمنح المتسللين وصولاً دائماً لأنظمة الضحايا.
تستهدف الحملة المنظمات بشكل خاص، حيث ترسل رسائل بريد إلكتروني تحتوي على مرفقات PDF تبدو كفواتير أو إيصالات أو وثائق مهمة. وعند فتحها، يرى المستخدمون رسالة خطأ تدعي فشل تحميل المستند، ليتم توجيههم بعدها إلى رابط لعرض المحتوى عبر صفحة تبدو كواجهة تحميل لبرنامج Adobe Acrobat.
تكمن فعالية هذه الأساليب الهجومية في اعتمادها على أدوات شرعية بدلاً من البرمجيات الخبيثة التقليدية. وتُعد برامج RMM نفسها أدوات شائعة يستخدمها مختصو الدعم الفني لتولي مهام إدارة الأجهزة عن بُعد. وعندما يتم تثبيتها من قبل جهات خبيثة، فإنها تمنح المهاجمين سيطرة كاملة على أنظمة الضحايا، مما يتيح لهم الوصول المستمر.
حملة احتيال PDF تستغل برامج RMM للوصول المستمر
لاحظ باحثو SpiderLabs أن المهاجمين لا يزالون يقومون بتوزيع هذه المستندات الخبيثة عبر عمليات بريد إلكتروني احتيالي مستمرة. تهدف هذه الحملات الجديدة إلى خداع المستخدمين وتقديم أدوات مراقبة عن بعد.
فبدلاً من تحميل برنامج Adobe الأصلي، يقوم الضحايا بتثبيت أدوات RMM التي تمنح الجهات الخبيثة وصولاً عن بعد ودائماً لأنظمتهم. من خلال إساءة استخدام برامج RMM الموثوقة، يمكن للمهاجمين التخفي ضمن الأنشطة التقنية الطبيعية مع الحفاظ على وصول طويل الأمد إلى الشبكات المخترقة.
تستخدم الحملة مرفقات PDF بأسماء تبدو عاجلة مثل “Invoice_Details.pdf” أو “Defective_Product_Order.pdf” لخلق شعور بالإلحاح. يعتقد الضحايا أنهم بحاجة إلى تنزيل برامج لعرض مستندات مهمة، لكنهم في الواقع يقومون بتثبيت أدوات وصول عن بعد يتم التحكم فيها بالكامل من قبل المهاجمين.
سلسلة العدوى وتكتيكات الثبات
تبدأ عملية الإصابة عندما يستلم الضحية بريداً إلكترونياً مرفقاً بملف PDF. عند فتح المستند، تظهر رسالة خطأ مزيفة تفيد بعدم إمكانية عرض المحتوى. يتلقى المستخدمون بعدها طلباً بالضغط على رابط يؤدي إلى صفحة تنتحل شخصية Adobe.
تستضيف هذه الصفحة المثبتات لبرامج RMM مثل ScreenConnect و Syncro و NinjaOne و SuperOps. بمجرد تشغيل المثبت، يقوم بنشر عميل RMM بصمت على جهاز الضحية. يتصل البرنامج فوراً بالخوادم التي يسيطر عليها المهاجمون، مما يمنحهم وصولاً كاملاً عن بعد.
يمكن للمهاجمين بعد ذلك عرض الشاشة في الوقت الفعلي، والتحكم في الفأرة ولوحة المفاتيح، ونقل الملفات، والحفاظ على الوصول حتى بعد إعادة تشغيل النظام. وبما أن هذه الأدوات مصممة للإدارة التقنية المشروعة، فإن برامج الأمان نادراً ما تكتشفها كتهديدات.
يجب على المنظمات تقييد تنزيل وتثبيت أي أدوات RMM غير معتمدة من قبل أقسام تقنية المعلومات لديها. يمكن لنشر حلول الكشف والاستجابة لنقاط النهاية (EDR) المساعدة في تحديد برامج الوصول عن بعد غير المصرح بها.
يظل تدريب الموظفين على التعرف على رسائل البريد الإلكتروني التحفيزية والمستندات المشبوهة أمراً ضرورياً لمنع الاختراق الأولي. كما ينبغي لفرق الأمن مراقبة حركة مرور الشبكة للتأكد من عدم وجود اتصالات بخوادم RMM غير متوقعة وحظر النطاقات الضارة المعروفة المرتبطة بهذه الحملات.