استغلال RMM يتزايد مع تراجع البرمجيات الضارة

تزايد استغلال أدوات المراقبة والإدارة عن بُعد (RMM) بشكل ملحوظ، مما يثير القلق في مجالات الأمن السيبراني. في هذا المقال، نستعرض كيف أن المهاجمين يتجهون نحو هذه الأدوات بدلاً من البرمجيات الضارة التقليدية.

لماذا استخدام البرمجيات الضارة للاختراقات عندما يمكنك استخدام البرمجيات المؤسسية بدلاً من ذلك؟

هذه هي في الأساس نظرة المهاجمين، الذين تحولوا العام الماضي بشكل كبير نحو استغلال أدوات المراقبة والإدارة عن بُعد (RMM) بعيداً عن البرمجيات الضارة التقليدية. وقد لاحظ باحثو Huntress زيادة مذهلة بنسبة 277% في استغلال أدوات RMM مقارنة بالعام السابق، وفقاً لتقرير التهديدات الإلكترونية لعام 2026.

حدثت الزيادة الكبيرة في الاستخدام الضار لأدوات RMM عبر جميع الصناعات، حيث شهدت قطاعات الرعاية الصحية والتكنولوجيا أكبر زيادة في النشاط العام الماضي. يفضل المهاجمون هذه الأدوات لأنها موجودة بشكل شبه عالمي في البيئات المؤسسية، ويختلط النشاط الضار مع الاستخدام الشرعي لأدوات RMM، مما يجعل الكشف عنها أكثر صعوبة بالنسبة لفرق الأمن، على عكس البرمجيات الضارة التقليدية.

“أصبحت حلول RMM السلاح المفضل للمهاجمين، حيث تقدم stealth، وpersistent، وكفاءة تشغيلية”، كما ذكر التقرير. “لقد تطور استغلال RMM من الاستخدام العرضي إلى استراتيجية اختراق متعمدة ومعيارية.”

أدوات RMM تحل محل البرمجيات الضارة

تشمل المنتجات الشائعة التي يتم استغلالها من RMM ConnectWise’s ScreenConnect، AnyDesk، Atera، NetSupport، PDQ’s Connect، وSplashTop. وقد لاحظت Huntress أن الزيادة الحادة في استغلال هذه الأدوات تتزامن مع انخفاض متوازي في استخدام البرمجيات الضارة. يظهر هذا التحول أن المهاجمين يتخلون عن أدوات الاختراق التقليدية ويعتمدون بشكل متزايد على تكتيكات العيش على الأرض (LotL)، حيث يستغل المهاجمون البرمجيات الشرعية وأدوات سطر الأوامر لتجنب الكشف عن التهديدات.

“بينما قام المجرمون الإلكترونيون ببناء كتيبات كاملة حول هذه الأدوات لنشر البرمجيات الضارة، وسرقة بيانات الاعتماد، وتنفيذ الأوامر، انخفض استخدام أدوات الاختراق التقليدية بنسبة 53%، بينما انخفضت RATs والبرمجيات الضارة بنسبة 20% و11.7% على التوالي”، كما ذكر التقرير، مضيفاً أن البرمجيات الضارة التقليدية كانت “نادرة بشكل ملحوظ” في الحالات التي تم فيها نشر وكلاء RMM.

كما لاحظ الباحثون تغييراً في طريقة استخدام المهاجمين لأدوات RMM. بدلاً من استخدامها كنقاط وصول أولية لنشر البرمجيات الضارة، يستخدم المهاجمون الآن أدوات RMM كـ”محور تحكم موحد” لأغراض القيادة والتحكم (C2) وكذلك لتوفير مسارات هجوم بديلة.

المهاجمون أذكياء بما يكفي لمحاولة استخدام أدوات RMM التي تم تثبيتها بالفعل أو على الأقل من المحتمل أن توجد داخل الشبكة المستهدفة، كما يقول جريج ليناريس، المحلل الرئيسي في استخبارات التهديدات في Huntress. يسعى المهاجمون من جميع الأنواع لاستغلال الثقة الممنوحة لهذه المنتجات والاختلاط مع الاستخدام الشرعي.

التخفيف من استغلال RMM

يقول ليناريس إن استغلال RMM يشكل تحديات لأنه يمكن أن يكون من الصعب تحديد النشاط الضار من الاستخدام الشرعي. لكن المشكلة الأكبر هي أن المنظمات عادة ما تسمح لهذه الثنائيات بالعمل في بيئاتها دون قيود أو حدود على ما يمكنهم الاتصال به أو من يستخدمها.

“المشكلة هي أن هذه الأدوات لا يتم تأمينها كما ينبغي”، كما يقول.

يجب على شركات الأمن من طرف ثالث أيضاً التركيز على أدوات RMM وإنشاء قوائم موافقة وقيود لمنع نشر الأدوات غير المصرح بها في شبكات العملاء، كما يقول ليناريس. لكن الكشف عن الاستخدام الضار لأدوات RMM المعتمدة أكثر تعقيداً.

يمكن أن توفر التنبيهات عن النشاط المرتبط بالهوية المشبوهة تحذيرات مبكرة، لكن ليناريس يقول إن مثل هذه الهجمات تميل إلى التحرك بسرعة كبيرة في تلك المرحلة. تشمل علامات التحذير الإضافية محاولة المهاجمين تسجيل الدخول من مواقع مختلفة لمعرفة ما إذا كانت هناك أي قيود جغرافية، بالإضافة إلى استخدام البروكسيات السكنية.

لكن ليناريس يقول إن جزءاً كبيراً من مشكلة الاستغلال يقع على عاتق بائعي ومطوري أدوات RMM أنفسهم. “أعتقد أنه ينبغي أن يتحملوا المسؤولية في تحديد استغلال منتجاتهم الخاصة”، كما يقول. “من المحبط جداً أن تكون شركة أمن وترى الاستغلال يحدث مراراً وتكراراً، حتى ونحن نحاول القيام بكل ما في وسعنا.”

يجب على بائعي أدوات RMM مراجعة كيفية استغلال منتجاتهم وتنفيذ قيود لمنع هذا النشاط. أقل ما يمكن أن تفعله هذه الشركات، كما يقول، هو توفير أكبر قدر ممكن من مخرجات الإشارة من الأداة لتزويد أجهزة استشعار الكشف عن التهديدات وفرق الأمن بمزيد من البيانات حول من يستخدم الأدوات وكيف يتم نشرها.

“نرى الشركات تأخذ تلك [التوصية] إلى الوراء وإعادة إصدار بعض التدابير الأمنية على أدواتها، لذا فهذا أمر إيجابي”، كما يقول ليناريس. “لكن لا يزال أمامهم طريق طويل ليقطعوه.”

في الختام، يتطلب التصدي لاستغلال أدوات RMM جهوداً من جميع الأطراف المعنية، بما في ذلك بائعي الأدوات وشركات الأمن. من الضروري اتخاذ تدابير فعالة لحماية الشبكات من هذه التهديدات المتزايدة.