أظهرت حملة تصيد احتيالي نشطة منذ أبريل 2025 استهدافًا متعدد القنوات، مستخدمة أدوات المراقبة والإدارة عن بُعد (RMM) المشروعة لإنشاء وصول ثابت إلى الأجهزة المخترقة.
تُعرف هذه الحملة باسم VENOMOUS#HELPER، وقد أثرت على أكثر من 80 منظمة، معظمها في الولايات المتحدة. تشترك في أوجه تشابه مع مجموعات رصدتها سابقًا شركات مثل Red Canary و Sophos، التي أطلقت عليها اسم STAC6405. وفي حين أن هوية الجهة الفاعلة غير واضحة، فإن شركة الأمن السيبراني تشير إلى أن هذه الحملة ذات دوافع مالية، وقد تكون تمهيدًا لعمليات الابتزاز الإلكتروني (ransomware).
حملة تصيد احتيالي متطورة تستخدم أدوات RMM مشروعة
تكمن براعة هذه الحملة في استخدامها لأدوات المراقبة والإدارة عن بُعد (RMM) مثل SimpleHelp و ScreenConnect، وهي أدوات مشروعة غالبًا ما تثبتها المؤسسات لعمليات الدعم عن بعد. هذا الاستخدام يهدف إلى تجاوز إجراءات الحماية الأمنية، حيث لا تثير هذه البرامج المشروعة شكوك أنظمة الكشف.
وتعمل الحملة على إنشاء “بنية وصول مزدوجة القنوات غير قابلة للتعطيل”، مما يضمن استمرارية العمليات حتى لو تم اكتشاف أحد البرنامجين وحظره. وهذا يعكس مستوى عالٍ من التخطيط والخبرة من قبل المهاجمين.
آلية هجوم VENOMOUS#HELPER
تبدأ الحملة برسالة بريد إلكتروني تصيدية تنتحل صفة إدارة الضمان الاجتماعي الأمريكية (SSA). يُطلب من المستلم التحقق من عنوان بريده الإلكتروني وتنزيل “بيان SSA” مفترض عن طريق النقر على رابط داخل الرسالة. هذا الرابط يوجه إلى موقع تجاري مكسيكي شرعي ولكنه مخترق (gruta.com.mx)، في استراتيجية متعمدة للتسلل عبر مرشحات البريد العشوائي.
بعد ذلك، يتم تنزيل “بيان SSA” المزيف من نطاق آخر يتحكم فيه المهاجم (server.cubatiendaalimentos.com.mx). هذا الملف هو عبارة عن برنامج قابل للتنفيذ مسؤول عن تثبيت أداة SimpleHelp RMM. وتشير التقديرات إلى أن المهاجم وصل إلى حساب مستخدم واحد على خادم الاستضافة الشرعي لوضع هذا البرنامج الضار.
بمجرد أن يفتح الضحية الملف التنفيذي، الذي يأتي مغلفًا بتقنية JWrapper، معتقدًا أنه مستند، يتم تثبيت البرمجية الخبيثة كخدمة ويندوز مع القدرة على الاستمرار حتى في الوضع الآمن (Safe Mode). كما تتضمن آلية “مراقبة ذاتية الشفاء” تقوم بإعادة تشغيل البرنامج تلقائيًا إذا تم إيقافه.
استغلال الصلاحيات والوصول عن بعد
لتسهيل الوصول الكامل والتفاعلي إلى سطح المكتب، تكتسب أداة SimpleHelp صلاحية SeDebugPrivilege، بينما يُستخدم ملف تنفيذي شرعي مرتبط بالبرنامج (“elev_win.exe”) للحصول على صلاحيات النظام (SYSTEM-level privileges). وهذا يسمح للمهاجم بقراءة الشاشة، وإدخال ضغطات المفاتيح، والوصول إلى موارد المستخدم.
بعد الحصول على هذا الوصول المرتفع، يتم استخدامه لتنزيل وتثبيت ConnectWise ScreenConnect، والذي يعمل كقناة اتصال احتياطية في حال تم قطع اتصال SimpleHelp. بهذه الطريقة، يبقى المهاجم قادرًا على العودة في أي وقت، وتنفيذ الأوامر بصمت، ونقل الملفات، والانتقال إلى أنظمة أخرى.
تُركت المنظمة الضحية في وضع يسمح للمهاجم بالعودة في أي وقت، وتنفيذ الأوامر بصمت في جلسة سطح المكتب الخاصة بالمستخدم، ونقل الملفات بشكل ثنائي الاتجاه، والتوسع إلى الأنظمة المجاورة، كل ذلك بينما لا ترى أدوات مكافحة الفيروسات والضوابط القائمة على التوقيع سوى برامج موقّعة بشكل شرعي من بائع مرموق.
وتسلط هذه الحملة الضوء على التحديات المتزايدة في مجال الأمن السيبراني، خاصة مع تطور تقنيات المهاجمين واستغلالها للأدوات الشرعية لشن هجمات معقدة، فيما يعرف بـ “التصيد الموجه”.