تُشكل أداة الوصول عن بعد التجارية Remcos، والتي توزعها شركة Breaking-Security ويتم تسويقها كبرنامج إداري، تهديدًا خطيرًا في مشهد الأمن السيبراني. تم تطوير هذه الأداة في منتصف عام 2010.
تتيح البرمجيات الخبيثة للمهاجمين تنفيذ أوامر عن بعد، وسرقة الملفات، والتقاط الشاشات، وتسجيل ضغطات المفاتيح، وجمع بيانات اعتماد المستخدم عبر خوادم القيادة والتحكم باستخدام قنوات HTTP أو HTTPS.
على الرغم من تقديمها كبرنامج شرعي يتوفر بنسخ مجانية ومدفوعة، إلا أن النسخ غير المصرح بها تُستخدم بنشاط في الهجمات لسرقة البيانات والوصول غير المصرح به إلى الأنظمة. تنتشر الأداة عبر حملات البريد الإلكتروني التي تحتوي على مرفقات وملفات ضارة مستضافة على مواقع ويب مخترقة.
يستخدم المهاجمون أيضاً برامج تحميل متخصصة مثل GuLoader و Reverse Loader لتسليم Remcos كحمولة مرحلية، مما يسمح لهم بتجاوز أنظمة الكشف الأولية. بمجرد التثبيت، تنشئ البرمجية الخبيثة مثابرة وتحافظ على اتصال مستمر مع البنية التحتية للتحكم.
البنية التحتية لـ Remcos
لاحظ محللو الأمن في Censys، خلال الفترة من 14 أكتوبر إلى 14 نوفمبر 2025، تتبعهم المستمر لأكثر من 150 خادم قيادة وتحكم نشط لـ Remcos على مستوى العالم. تُبرز هذه البنية التحتية الكبيرة الانتشار الواسع للأداة بين الجهات التهديدية.
تعمل الخوادم عادةً على المنفذ 2404، وهو الخيار الافتراضي لأداة Remcos، مع ملاحظة نشاط إضافي على المنافذ 5000، 5060، 5061، 8268، و 8808. هذا يدل على مرونة المشغلين في استراتيجيات النشر.
تُظهر دراسة شبكات الاتصال الخاصة بالقيادة والتحكم كيفية احتفاظ Remcos بالسيطرة. تتواصل البرمجيات الخبيثة عبر بروتوكولات HTTP و HTTPS على منافذ متوقعة، وغالباً ما تحتوي حركة مرور الشبكة على طلبات POST مشفرة وتكوينات TLS غير عادية تخلق أنماطاً مميزة.
عادةً ما يعيد المشغلون استخدام الشهادات عبر خوادم متعددة، ويستخدمون إعدادات قائمة على القوالب، ويستفيدون من مقدمي خدمات استضافة منخفضة التكلفة مثل COLOCROSSING و RAILNET و CONTABO عبر الولايات المتحدة وهولندا وألمانيا ودول أخرى. هذا النمط من البنية التحتية يمكّن المدافعين عن الشبكة من تحديد وحظر الاتصالات عند نقاط الكشف.
تشمل آليات المثابرة المكتشفة المهام المجدولة وإدخالات مفتاح تشغيل التسجيل، مما يسمح للمهاجمين بالحفاظ على الوصول حتى بعد إعادة تشغيل النظام. هذا المزيج من تنفيذ الأوامر، وقدرات نقل الملفات، والمثابرة المرنة يجعل Remcos خطيرًا بشكل خاص للمؤسسات ذات الضوابط الأمنية الضعيفة.