تستغل جهات التهديد حملة جديدة تبدو خطيرة، حيث تقوم بتوظيف وثائق شحن عادية ظاهرياً لتوزيع Remcos، وهو برنامج تجسس خبيث قوي يمكنه الوصول عن بعد. وتعتمد هذه الحملة على رسائل بريد إلكتروني وهمية لوثائق الشحن كنقطة انطلاق، لخداع المستخدمين وحثهم على فتح مستندات Word خبيثة تبدو كسجلات شحن شرعية. تبدأ سلسلة الهجمات بصمت فور فتح المستند، مما يؤدي إلى اختراق النظام دون أي تحذيرات واضحة.
يقدم هذا البرنامج الضار أداة تجسس تجارية قادرة على السيطرة الكاملة على الأجهزة المخترقة. ويمثل إصدار Remcos الذي تم تحديده في هذه الحملة تطوراً مقلقاً في تعقيد الهجمات. على عكس البرامج الضارة التقليدية التي تترك آثاراً واضحة، يعمل هذا الإصدار بطريقة “بدون ملفات”، مما يعني أنه ينفذ بالكامل في ذاكرة النظام دون كتابة ملفات مشبوهة على القرص. وهذا النهج المتخفي يجعل اكتشافه أصعب بشكل كبير لفرق الأمن.
تستهدف الحملة خصوصًا مستخدمي أنظمة ويندوز، وتشكل خطراً شديداً على أي مؤسسة لم تطبق إجراءات أمنية قوية للبريد الإلكتروني. وقد اكتشف محللو Fortinet هذا البرنامج الضار بعد العثور على رسائل البريد الإلكتروني التصيدية التي يتم إرسالها في البرية. نجح باحثو الأمن في توثيق كيف قام المهاجمون بتصميم رسائل بريد الشحن الإلكترونية بعلامات تجارية وأرقام مرجعية تبدو أصلية لزيادة احتمالية فتح الضحايا للمرفقات.
التسلل عبر وثائق الشحن الخبيثة
بمجرد فتح المستند في Microsoft Word، يقوم تلقائياً بجلب قالب خبيث من خادم بعيد، مما يؤدي إلى تشغيل سلسلة من الاستغلالات التي تقوم في النهاية بتثبيت Remcos على النظام المستهدف. يستخدم الهجوم ثغرة أمنية معروفة ولكنها لا تزال حرجة تسمى CVE-2017-11882 في محرر المعادلات الخاص بـ Microsoft. عند معالجة ملف النموذج الذي تم تنزيله، فإنه يحتوي على بيانات مصممة خصيصًا لاستنزاف محرر المعادلات بطريقة يمكن التحكم فيها.
يسمح هذا العطل للمهاجمين بتنفيذ تعليمات برمجية عشوائية بنفس أذونات تطبيق Word، مما يوفر نقطة انطلاق مثالية لعملية تثبيت البرنامج الضار. بعد الاستغلال الأولي، تقوم الحملة بتنزيل نص برمجي Visual Basic الذي يجلب المزيد من وحدة .NET. ثم يتم تحميل هذه الوحدة إلى عملية PowerShell حيث تعمل بشكل غير مرئي. يمثل استخدام **وثائق الشحن الخبيثة** طريقة مبتكرة للمهاجمين للدخول إلى الأنظمة.
آليات العدوى والاستمرارية
تُظهر الطريقة التي يحقق بها هذا البرنامج الضار استمراريته هندسة دقيقة من قبل المهاجمين. بعد الاستغلال الأولي، يقوم الهجوم بتنزيل نص برمجي Visual Basic Script يقوم بتنزيل وحدة .NET إضافية. ثم يتم تحميل هذه الوحدة في عملية PowerShell حيث تعمل بشكل غير مرئي. يتنكر وكيل Remcos نفسه كملف فائدة شرعي لنظام Windows يسمى colorcpl.exe، مما يساعده على الاندماج في عمليات النظام العادية.
للتأكد من بقاء البرنامج الضار على قيد الحياة بعد إعادة تشغيل النظام، يستفيد المهاجمون من Task Scheduler في Windows لإنشاء مهام مجدولة تعاود تشغيل البرنامج الضار كلما بدأ تشغيل الكمبيوتر المصاب. ويكمن الجانب الأكثر إثارة للقلق في نطاق القدرات التي يوفرها هذا RAT بمجرد تثبيته. يمكن لـ Remcos التقاط لقطات الشاشة، وتسجيل ضغطات المفاتيح، ومراقبة مدخلات الميكروفون والكاميرا، والوصول إلى الملفات الحساسة المخزنة على الجهاز المصاب.
يمكنه إنشاء اتصالات بالخوادم القيادية والتحكم في العنوان 216.9.224.26:51010، مما يسمح للمهاجمين بإصدار أوامر عن بعد. يستخدم البرنامج الضار تشفير Transport Layer Security (TLS) لحماية اتصالاته مع المهاجمين، مما يجعل الكشف المستند إلى الشبكة أكثر صعوبة. تواجه المؤسسات التي تكتشف بها إصابات بـ Remcos اختراقاً كاملاً للنظام، حيث يكتسب المهاجمون سيطرة عن بعد بمستوى المسؤول على بنيتها التحتية التي تعمل بنظام Windows.