تستعرض هذه المقالة كيف يستخدم TA558 الذكاء الاصطناعي لنشر Venom RAT في هجمات الفنادق في البرازيل، مع التركيز على أساليبهم المتطورة.
استخدام TA558 للبرمجيات النصية المولدة بواسطة الذكاء الاصطناعي لنشر Venom RAT في هجمات الفنادق في البرازيل
تمت الإشارة إلى المهاجم المعروف باسم TA558 في مجموعة جديدة من الهجمات التي تقوم بتوزيع مجموعة متنوعة من برمجيات الوصول عن بعد (RATs) مثل Venom RAT لاختراق الفنادق في البرازيل والأسواق الناطقة بالإسبانية.
تقوم شركة Kaspersky الروسية للأمن السيبراني بتتبع هذه الأنشطة، التي لوحظت في صيف عام 2025، إلى مجموعة تُعرف باسم RevengeHotels.
“يستمر المهاجمون في استخدام رسائل البريد الإلكتروني الاحتيالية ذات موضوعات الفواتير لتسليم برمجيات Venom RAT عبر محملات JavaScript وPowerShell،” قالت الشركة. “يبدو أن جزءًا كبيرًا من الكود المستخدم في الحملة الحالية تم إنشاؤه بواسطة نماذج لغوية كبيرة (LLM).”
تظهر النتائج اتجاهًا جديدًا بين مجموعات المجرمين السيبرانيين للاستفادة من الذكاء الاصطناعي (AI) لتعزيز أساليبهم.
تُعرف مجموعة RevengeHotels بأنها نشطة منذ عام 2015 على الأقل، ولها تاريخ في استهداف منظمات الضيافة والفنادق والسياحة في أمريكا اللاتينية بهدف تثبيت البرمجيات الضارة على الأنظمة المخترقة.
أساليب الهجمات وتطورها
تم العثور على الإصدارات الأولى من حملات المهاجمين التي توزع رسائل بريد إلكتروني تحتوي على مستندات Word أو Excel أو PDF مصممة، بعضها يستغل ثغرة معروفة في تنفيذ التعليمات البرمجية عن بُعد في Microsoft Office (CVE-2017-0199) لتفعيل نشر Revenge RAT وNjRAT وNanoCoreRAT و888 RAT، بالإضافة إلى قطعة من البرمجيات الضارة المخصصة تُعرف باسم ProCC.
أظهرت الحملات اللاحقة التي وثقتها Proofpoint وPositive Technologies قدرة المهاجمين على تحسين سلاسل هجماتهم لتسليم مجموعة واسعة من RATs مثل Agent Tesla وAsyncRAT وFormBook وGuLoader وLoda RAT وLokiBot وRemcos RAT وSnake Keylogger وVjw0rm.
الهدف الرئيسي من الهجمات هو التقاط بيانات بطاقات الائتمان من الضيوف والمسافرين المخزنة في أنظمة الفنادق، بالإضافة إلى بيانات بطاقات الائتمان المستلمة من وكالات السفر عبر الإنترنت الشهيرة مثل Booking.com.
وفقًا لشركة Kaspersky، تتضمن الحملات الأخيرة إرسال رسائل بريد إلكتروني احتيالية مكتوبة بالبرتغالية والإسبانية تحمل مغريات تتعلق بالحجز الفندقي وطلبات العمل لخداع المستلمين للنقر على روابط مزيفة، مما يؤدي إلى تحميل حمولة JavaScript عبر WScript.
“يبدو أن السكربت تم إنشاؤه بواسطة نموذج لغوي كبير (LLM)، كما يتضح من كوده المعلق بشكل كبير وتنسيقه المشابه لتلك التي تنتجها هذه التقنية،” قالت الشركة. “الوظيفة الأساسية للسكربت هي تحميل سكربتات لاحقة تسهل الإصابة.”
يتضمن ذلك سكربت PowerShell، الذي يسترجع بدوره محملًا يُدعى “cargajecerrr.txt” من خادم خارجي ويقوم بتشغيله عبر PowerShell. المحمل، كما يوحي الاسم، يجلب حمولتين إضافيتين: محمل مسؤول عن إطلاق برمجيات Venom RAT الضارة.
استنادًا إلى Quasar RAT مفتوح المصدر، فإن Venom RAT هو أداة تجارية تُعرض بسعر 650 دولارًا لترخيص مدى الحياة. تكلف اشتراك لمدة شهر واحد يجمع بين البرمجيات الضارة مع مكونات HVNC وStealer، 350 دولارًا.
تم تجهيز البرمجيات الضارة لسرقة البيانات، والعمل كوكيل عكسي، وتتميز بآلية حماية ضد الإنهاء لضمان تشغيلها دون انقطاع. لتحقيق ذلك، تقوم بتعديل قائمة التحكم في الوصول التقديرية (DACL) المرتبطة بالعملية الجارية لإزالة أي أذونات قد تتداخل مع عملها، وتقوم بإنهاء أي عملية جارية تتطابق مع أي من العمليات المحددة مسبقًا.
“تشمل الميزة الثانية من تدابير الحماية ضد الإنهاء خيطًا يعمل في حلقة مستمرة، يتحقق من قائمة العمليات الجارية كل 50 مللي ثانية،” قالت Kaspersky.
“تستهدف الحلقة بشكل خاص تلك العمليات المستخدمة بشكل شائع من قبل محللي الأمن ومديري الأنظمة لمراقبة نشاط المضيف أو تحليل ثنائيات .NET، من بين مهام أخرى. إذا اكتشف RAT أي من هذه العمليات، فسوف يقوم بإنهائها دون تنبيه المستخدم.”
تدابير الحماية والتوسع
تأتي ميزة الحماية ضد الإنهاء أيضًا مزودة بالقدرة على إعداد الاستمرارية على المضيف باستخدام تعديلات سجل Windows وإعادة تشغيل البرمجيات الضارة في أي وقت لا توجد فيه العملية المرتبطة في قائمة العمليات الجارية.
إذا تم تنفيذ البرمجيات الضارة بامتيازات مرتفعة، فإنها تتابع إعداد رمز SeDebugPrivilege وتحدد نفسها كعملية نظام حرجة، مما يسمح لها بالاستمرار حتى عند محاولة إنهاء العملية. كما أنها تجبر شاشة الكمبيوتر على البقاء مضاءة وتمنعها من الدخول في وضع السكون.
أخيرًا، تتضمن آثار Venom RAT قدرات على الانتشار عبر محركات USB القابلة للإزالة وإنهاء العملية المرتبطة ببرنامج Microsoft Defender Antivirus، بالإضافة إلى العبث بجدول المهام والسجل لتعطيل البرنامج الأمني.
“لقد عززت RevengeHotels بشكل كبير من قدراتها، وتطوير أساليب جديدة لاستهداف قطاعات الضيافة والسياحة،” قالت Kaspersky. “بمساعدة نماذج LLM، تمكنت المجموعة من توليد وتعديل مغريات الاحتيال الخاصة بها، مما وسع هجماتها إلى مناطق جديدة.”
رابط خارجي: TA558 Uses AI-Generated Scriptsلقد عززت RevengeHotels بشكل كبير من قدراتها، وتطوير أساليب جديدة لاستهداف قطاعات الضيافة والسياحة، مما يمثل تهديدًا متزايدًا في عالم الأمن السيبراني.
