يشهد عالم الأمن السيبراني تطوراً مستمراً في تكتيكات الجهات الخبيثة، حيث كشفت حملة حديثة تستهدف المستخدمين عبر برامج Remcos RAT عن أساليب متقدمة تعتمد على التخفي والتلاعب. تتميز هذه الحملة بعدم اعتمادها على ملف واحد فقط، بل تستخدم سلسلة معقدة من المراحل تهدف إلى التسلل إلى الأنظمة دون ترك أثر يسهل اكتشافه.
ويُعد Remcos RAT، وهو اختصار لـ Remote Control and Surveillance، تهديداً معروفاً منذ سنوات، يستخدمه المهاجمون لسرقة البيانات، وتسجيل ضغطات المفاتيح، والتحكم في الأجهزة المصابة عن بعد. ما يميز هذه الحملة الأخيرة هو الطريقة التي تصل بها إلى الضحية، حيث تتجنب طرق التسليم التقليدية الواضحة، وتستبدلها بسلسلة من طبقات التشفير، واستخدام أدوات ويندوز موثوقة، والاتصال بخادم تحكم وسيط (C2) مباشر لتنفيذ الهجوم بدقة.
نجح محللون وباحثون في فريق Point Wild’s LAT61 Threat Intelligence Team في تحديد هذه الحملة بعد فحص ملف بريد إلكتروني خبيث (.eml). وقد وجدوا أن الهجوم يبدأ بملف ZIP مرفق يحمل اسم “MV MERKET COOPER SPECIFICATION.zip”، مصمم ليبدو كمستند عمل عادي. عند فتحه، يكشف عن ملف JavaScript مشفر يخفي طبيعته الخبيثة، ويبدأ بتنفيذ الهجوم بصمت دون إثارة تنبيهات أمنية قياسية.
تتجسد خطورة هذه الحملة في أنها، بمجرد اكتمال نشرها، تقوم بإنشاء اتصال دائم بخادم تحكم وسيط (C2) عبر العنوان 192[.]3[.]27[.]141:8087، لتبادل البيانات بشكل نشط. وتأكدت أدلة جمع البيانات من خلال إنشاء ملف سجل في المسار C:ProgramDataremcoslogs.dat، حيث يتم تخزين ضغطات المفاتيح التي تم التقاطها ومعلومات النظام الأخرى، مما يشير إلى أن البرمجية الخبيثة كانت تقوم بجمع البيانات تمهيداً لتسريبها.
إن ما يجعل هذا التهديد صعب الاحتواء بشكل خاص هو قدرته على التخفي داخل الأدوات التي يستخدمها مستخدمو ويندوز بشكل يومي. من خلال إساءة استخدام الملفات الثنائية الشرعية للنظام وتشغيلها بالكامل في الذاكرة، تمكن المهاجمون من تجاوز العديد من الدفاعات الأمنية التقليدية. إن هذا النوع من الهجمات يوضح إلى أي مدى وصل المهاجمون في تصميم عمليات تندمج بسلاسة مع نشاط النظام العادي.
آلية الإصابة متعددة المراحل: من التصيد الاحتيالي إلى التنفيذ في الذاكرة
تبدأ عملية الإصابة لحظة فتح المستخدم لرسالة البريد الإلكتروني التصيدية واستخراج ملف ZIP المرفق. داخل الأرشيف، يوجد ملف JavaScript، يحمل اسم MV MERKET COOPER SPECIFICATION.js، وهو مشفر بشكل مكثف باستخدام دوال ربط السلاسل النصية والمصفوفات المشفرة لإخفاء هدفه الحقيقي.
عند التنفيذ عبر Windows Script Host، يقوم النص البرمجي بإنشاء كائنات ActiveX للتعامل مع الاتصالات عبر HTTP، وتنفيذ الأوامر، وعمليات الملفات، ثم يتصل بالموقع almacensantangel[.]com لتنزيل نص برمجي PowerShell عن بعد يسمى ENCRYPT.Ps1.
يُطبق مُحمل PowerShell هذا طبقات متعددة من التشفير لإعادة بناء الحمولة في الذاكرة. يتم تخزين البيانات كسلسلة نصية كبيرة مشفرة بـ Base64 داخل المتغير $securecontainer، والذي تقوم دالة $base64reconstruction بتحويله إلى مصفوفات بايت خام.
تقوم دالة XOR الدورانية بعد ذلك بفك تشفير البيانات باستخدام آلية مفتاح متحرك، وتجمع دالة $masterdecoder فك التشفير الكامل. أخيراً، تقوم دالة $executionhandler بتشغيل النص البرمجي المستعاد عبر Invoke-Expression مع طرق احتياطية مضمنة.
يكشف النص البرمجي الذي تم فك تشفيره عن تجميعة .NET تسمى ALTERNATE.dll، يتم تحميلها مباشرة في الذاكرة عبر واجهات برمجة تطبيقات .NET Reflection دون كتابة أي ملف على القرص.
يتم تضمين حمولة ثانوية، Cqeqpvzeia.exe، كمصفوفة بايت خام تبدأ بتوقيع PE “MZ” وتُحقن في aspnet_compiler.exe — وهي أداة Microsoft .NET شرعية — من خلال تقنية “Living-off-the-Land”. هذه العملية المسيئة هي المسؤولة عن جميع اتصالات C2 الصادرة، مما يجعل حركة المرور الخبيثة تبدو كنشاط نظام روتيني.
ينصح بأن تقوم المؤسسات بمراقبة أحداث تنفيذ PowerShell، خاصة تلك التي تتضمن أوامر مشفرة بـ Base64 وأعلام تجاوز سياسات التنفيذ. يجب التعامل مع الاتصالات الصادرة من أدوات النظام مثل aspnet_compiler.exe إلى مضيفين خارجيين غير معروفين على أنها مشبوهة.
يجب على فرق الأمن أيضاً الانتباه إلى الملف C:ProgramDataremcoslogs.dat كمؤشر رئيسي للاختراق. يبقى حظر عناوين URL الخبيثة المعروفة، والتجزئات، والبنية التحتية لـ C2 من جدول مؤشرات الاختراق (IOC) خطوة حاسمة لاحتواء هذا التهديد في مراحله المبكرة.