كشفت تقارير أمنية حديثة عن حملة تصيد احتيالي متطورة تستهدف المنظمات في الولايات المتحدة، مستخدمة أدوات إدارة أجهزة عن بعد (RMM) شائعة للتسلل إلى الأنظمة. تستغل هذه الهجمات برمجيات موثوقة مثل LogMeIn Resolve و ScreenConnect لتجاوز الدفاعات التقليدية. (حملات تصيد احتيالي)
بدأت هذه العمليات الخبيثة في استغلال البرامج الشرعية كوسيلة أولية، بدلاً من نشر البرامج الضارة التقليدية مباشرة. يهدف هذا الأسلوب إلى خداع آليات الأمان ومنح المهاجمين وصولاً مبدئياً قبل تنفيذ خطوات لاحقة. (الحصول على وصول غير مصرح به)
تشير التحقيقات إلى أن ذروة نشاط هذه الحملة وقعت بين شهري أكتوبر ونوفمبر من العام الماضي، مع بدء بعض الفعاليات منذ أبريل 2025. وقد تأثر بها ما لا يقل عن 80 منظمة في قطاعات متنوعة داخل الولايات المتحدة.
بدأت الهجمات برسائل بريد إلكتروني خادعة. بعضها جاء من حسابات مخترقة لجهات اتصال معروفة وموثوقة، مما زاد من مصداقيتها. فيما بدأت الرسائل الأخرى من مرسلين غير معروفين تمامًا، مستخدمة عناوين مثل “دعوة خاصة” أو محاكاة إشعارات مناقصات.
أسلوب الهجمات متعدد المراحل
كل بريد إلكتروني كان يحتوي على رابط يؤدي إلى مواقع تابعة للمهاجمين، والتي كانت تستضيف مثبتات LogMeIn Resolve تم إعدادها مسبقًا لتسجيل جهاز الضحية في حساب يتحكم فيه المهاجم بالكامل. (أدوات إدارة الأجهزة عن بعد)
وقد قامت فرق تحليل أمنية بتتبع هذه المجموعة من التهديدات تحت اسم STAC6405. وكشف بحث مستمر أن البنية التحتية التي تستخدمها الحملة للتوزيع قد تغيرت بشكل متكرر، حيث قام المهاجمون بالتبديل بين صفحات هبوط مختلفة، منها ما يحاكي واجهات Microsoft Teams أو برامج Norton الأمنية، ربما لتكييف طريقة التوصيل بناءً على موقع المستخدم أو خصائص المتصفح.
تم تصميم أسماء الملفات المثبتة بشكل خبيث لتبدو روتينية، مثل “Invitation.exe” أو “ContractAgreementToSign.exe”. وكان الهدف هو جعل الضحية يثق بها بسهولة عند تنزيلها وفتحها.
بمجرد أن يقوم الضحية بتنفيذ الملف الذي تم تنزيله، يتمكن المهاجم من الدخول عن بعد إلى النظام دون الحاجة إلى تدخل أو إذن إضافي عبر منصة LogMeIn Resolve. وقد تم تسجيل خدمة ويندوز فريدة لهذا الغرض.
مراحل متقدمة من الاختراق
في معظم الحالات المرصودة، توقفت الهجمات عند هذه المرحلة الأولية، حيث بدا أن المهاجمين يظلون خامدين بعد الحصول على الوصول. هذا النمط يرتبط غالبًا بعمليات “وسطاء الوصول الأولي” (IAB)، حيث يتم بيع الوصول المسروق بهدوء في الأسواق الإجرامية لمزيد من الاستغلال.
في حادثتين منفصلتين، تحرك المهاجمون بسرعة إلى مرحلة ثانية. في الحالة الأولى، استغلوا تثبيتًا سابقًا لبرنامج ScreenConnect موجود بالفعل على جهاز الضحية. قاموا بتنزيل أرشيف ZIP يحتوي على أداة “HideMouse.exe” لإخفاء نشاطهم، بالإضافة إلى ملف “87766713.exe” والذي تشبه سلوكياته برامج ValleyRAT.
تم تصميم هذه البرمجية الخبيثة لتأخير نشاطها لمدة تتراوح بين أربع وتسع دقائق. هذا التأخير المتعمد يهدف إلى تجاوز أدوات التحليل الآلي والكشف الاستدلالي. بعد ذلك، تقوم بحقن تعليمات برمجية في “csc.exe”، وهو برنامج شرعي من Microsoft يتم استغلاله بشكل متكرر.
بدأ البرمجية الخبيثة بجمع بيانات حساسة من متصفح الضحية، بما في ذلك بيانات اعتماد تسجيل الدخول، رموز الجلسات، بيانات محافظ العملات المشفرة، وتفاصيل النظام. تم فك تشفير حمولة مخفية باستخدام تشفير TripleDES.
في الحادثة الثانية، قام الملف الذي تم تنزيله بتشغيل عميل ScreenConnect كخدمة، إلى جانب أداة وصول عن بعد تعتمد على Java. بدأ المهاجم في فحص قواعد جدار الحماية قبل أن تتمكن فرق الأمن والمنظمة المتأثرة من احتواء الاختراق بنجاح.
توصي المنظمات بتقييد تثبيت البرامج لقائمة معتمدة، وتطبيق سياسات قوية لإدارة بيانات الاعتماد، وإزالة أدوات RMM مثل LogMeIn إذا لم تكن ضرورية للعمل اليومي. يجب أيضًا حظر أدوات RMM غير المصرح بها عبر سياسات التحكم في التطبيقات. أي عناوين URL ومؤشرات اختراق مرتبطة بهذه الحملة يجب حظرها على الفور عبر جميع نقاط الدخول للشبكة.