كشف باحثون أمنيون عن برمجية خبيثة جديدة متعددة المراحل تُعرف باسم SILENTCONNECT، والتي تستهدف أجهزة ويندوز بصمت منذ مارس 2025 على الأقل. تستخدم هذه البرمجية تقنيات متقدمة مثل VBScript، وتنفيذ PowerShell في الذاكرة، وتقنية PEB Masquerading لنشر أداة ScreenConnect للإدارة والمراقبة عن بعد من ConnectWise على الأنظمة المخترقة. يشكل هذا الاختراق تهديداً كبيراً للبيئات المؤسسية حول العالم، حيث يمنح المهاجمين سيطرة كاملة على الأجهزة المصابة.
يبدأ مسار الإصابة عندما يتلقى الهدف بريداً إلكترونياً تصيدياً يحتوي على رابط يبدو أنه يؤدي إلى دعوة أو عرض تقديمي شرعي. يؤدي النقر على الرابط إلى إعادة توجيه الضحية إلى صفحة تحقق من Cloudflare Turnstile CAPTCHA، تطلب منه التأكد من أنه إنسان. وبمجرد النقر على مربع الاختيار، يتم تنزيل ملف VBScript باسم E-INVITE.vbs تلقائياً على الجهاز.
SILENTCONNECT: تهديد متخفي في الظل
قام ممثلون خطرون (Threat actors) باستخدام أسماء ملفات مقنعة، مثل Proposal-03-2026.vbs، لجعل الطُعم الأمنية تبدو موثوقة وإضعاف حذر الضحية قبل التنفيذ. اكتشف باحثو Elastic Security Labs حملة SILENTCONNECT في أوائل مارس 2026، بعد أن ولّدت عدوى من طراز “living-off-the-land” تنبيهات سلوكية متعددة في فترة قصيرة.
شغّل تنزيل VBScript الأولي اكتشافاً لأنظمة الأمان باسم “Suspicious Windows Script Downloaded from the Internet”، مما أعطى المحللين نقطة انطلاق لتتبع الإصابة باستخدام حقول عنوان URL المصدر للملف. استضافت Cloudflare’s r2.dev ملف VBScript، بينما تم جلب حمولة C# من Google Drive، وهما منصتان موثوقتان من غير المرجح أن تمنعهما معظم الدفاعات الشبكية.
تندمج SILENTCONNECT بسلاسة مع أنشطة ويندوز العادية للبقاء بعيدة عن الأنظار. يستخدم VBScript قصة أطفال كغطاء، بينما يخفي التعليمات الحقيقية داخل دوال Replace و Chr. عند فك تشفيرها، تقوم بتشغيل أمر PowerShell يستخدم أداة curl.exe المدمجة لتنزيل ملف مصدر C#، ثم تجميعه في وقت التشغيل عبر Add-Type، وتشغيله بالكامل في الذاكرة. ونظراً لعدم كتابة أي ملف تنفيذي خبيث على القرص، تكافح معظم أدوات أمن نقطة النهاية للكشف عن هذا السلوك في الوقت الفعلي.
تُظهر البنية التحتية لممثل الخطر أيضاً نمطاً متسقاً. تم تتبع بريد إلكتروني تصيدي على VirusTotal بعنوان “YOU ARE INVITED” إلى dan@checkfirst[.]net[.]au، الذي انتحل صفة عرض لشركة وهمية. وأعاد المهاجم استخدام نفس مسار URI — download_invitee.php — عبر مواقع ويب مخترقة متعددة، مما أثبت أنه خطأ في عمليات الاستخبارات (OPSEC). سمح ذلك للباحثين برسم خرائط كاملة للبنية التحتية للحملة من خلال عمليات بحث مستهدفة على VirusTotal.
PEB Masquerading وتقنية التهرب من الدفاع
بمجرد تشغيل محمل .NET، تتصرف SILENTCONNECT بسرعة للاختفاء عن أعين أدوات الأمان. بعد فترة سكون مدتها 15 ثانية، تقوم بتخصيص ذاكرة قابلة للتنفيذ عبر NtAllocateVirtualMemory، وتنسخ جزء صغير من شفرة آلية (shellcode) إلى تلك المنطقة. تتضمن هذه الشفرة الآلية استرداد عنوان كتلة بيئة المعالجة (Process Environment Block – PEB) وهي بنية ويندوز تتعقب جميع الوحدات النمطية المحملة في عملية قيد التشغيل، مما يسمح للبرمجية الخبيثة بالعمل على مستوى نظام منخفض مع تجاوز استدعاءات API المراقبة عادةً.
باستخدام عنوان PEB، تقوم SILENTCONNECT بتنفيذ تقنية PEB Masquerading عن طريق تحديد موقع إدخال قائمة الوحدة النمطية الخاصة بها، ثم استبدال كل من حقلي BaseDLLName و FullDllName لعرض winhlp32.exe و c:windowswinhlp32.exe. نظراً لأن العديد من حلول اكتشاف الاستجابة لنقطة النهاية (EDR) تعتمد على بيانات PEB كمرجع موثوق لتحديد العمليات المشبوهة، فإن هذا التبديل في الأسماء يخفي المحمل ليبدو كأداة مساعدة من ويندوز غير ضارة، مما يجعله غير مرئي تقريباً للاكتشاف الآلي.
قبل تثبيت ScreenConnect، تنفذ البرمجية الخبيثة تجاوزاً لصلاحيات المسؤول (UAC bypass) عبر واجهة CMSTPLUA COM، وتخزن المعلمات الخاصة بها بترتيب عكسي كتمويه، وتضيف سراً استثناءً لبرنامج Microsoft Defender لملفات exe. بعد ذلك، تقوم بتنزيل ScreenConnect MSI من bumptobabeco[.]top عبر curl.exe، وتثبيتها عبر msiexec.exe، وتهيئتها كخدمة ويندوز تتصل بخادم المهاجم عبر منفذ TCP 8041.
يجب على المؤسسات تدقيق بيئاتها بشكل روتيني بحثاً عن عمليات نشر RMM غير المصرح بها، ومراقبة حركة المرور الصادرة إلى عناوين خادم ScreenConnect غير المعروفة. يجب على فرق الأمان تمييز أوامر PowerShell التي تجمع بين Add-Type والتنزيلات عن بعد، والتنبيه إلى ملفات VBScript التي تم جلبها من الإنترنت، ومراقبة التغييرات غير المتوقعة في استثناءات Defender. يمكن أيضاً أن يساعد تتبع استدعاءات NtAllocateVirtualMemory من عمليات .NET في اكتشاف هذا التهديد قبل وصوله إلى الاختراق الكامل.