تستمر الهجمات الإلكترونية في التطور، حيث يستخدم المهاجمون أدوات شرعية لتجاوز أنظمة الأمان. في هذا المقال، نستعرض حملة تصيد خفية تستهدف المنظمات باستخدام أدوات RMM.
تسلط حملة تصيد خفية تستهدف المنظمات عبر صناعات متعددة الضوء على اتجاه متزايد من قبل المهاجمين لاستخدام أدوات إدارة تكنولوجيا المعلومات الشرعية لتجاوز الضوابط الأمنية والحفاظ على الاستمرارية في الأنظمة المخترقة.
يقول الباحثون الأمنيون في Securonix إن الحملة، التي يتتبعونها باسم VENOMOUS#HELPER، نشطة منذ أبريل 2025 على الأقل وقد أصابت أكثر من 80 منظمة، بشكل أساسي في الولايات المتحدة ولكن أيضًا في غرب أوروبا وأمريكا اللاتينية.
ليس أداة واحدة، بل اثنتان من أدوات RMM
ما يجعل الحملة جديرة بالملاحظة، وفقًا لـ Securonix، هو تجنبها المتعمد للبرامج الضارة التقليدية لصالح اثنين من أدوات المراقبة والإدارة عن بُعد (RMM) المتاحة تجاريًا والموقعة بشكل شرعي — SimpleHelp وScreenConnect — لتمكين السيطرة المستمرة على أجهزة الضحايا.
يضمن اختيار الأداتين أن حتى إذا رصدت منظمة ضحية واحدة منهما وأزالتها، لا يزال المهاجم يحافظ على الوصول عبر الثانية. “لم يتم تعيين أي نسبة رسمية؛ تقيّم Securonix أن هذه الأنشطة تتماشى مع عملية وسطاء الوصول المالي (IAB) أو عمليات سابقة للفدية تستهدف الكتلة الاقتصادية الغربية،” كما قالت الشركة الأمنية.
تسمح أدوات RMM للمهاجمين بطريقة منخفضة الاحتكاك للوصول إلى بيئة الضحية والحفاظ على الاستمرارية. بسبب كيفية استخدام فرق تكنولوجيا المعلومات لها لأغراض شرعية مثل الإدارة والصيانة الروتينية، نادرًا ما تثير هذه الأدوات تنبيهات أمنية وتمنح المهاجمين وسيلة لدمج الأنشطة الضارة مع العمليات العادية. لقد غذى هذا الديناميكية زيادة هائلة في استخدام أدوات RMM في الهجمات الجديدة.
أفاد الباحثون في Huntress بزيادة بنسبة 277% في استخدام أدوات RMM بشكل غير مشروع في عام 2025، حيث ظهرت الأدوات في ما يقرب من ربع جميع الحوادث. على مدار نفس الفترة، انخفض استخدام أدوات الاختراق التقليدية بنسبة 53%، مما يبرز التحول نحو البرمجيات الموثوقة كوسيلة للهجوم. “أدوات المراقبة والإدارة عن بُعد (RMM) هي السلاح المفضل للمجرمين الإلكترونيين،” قالت الشركة.
سلسلة هجمات Venomous#Helper
تبدأ هجمات VENOMOUS#HELPER ببريد إلكتروني مصمم بشكل مقنع يتنكر كرسالة من إدارة الضمان الاجتماعي الأمريكية (SSA). يتم إبلاغ المستلمين بوجود بيان جديد متاح للتنزيل ويتم تحفيزهم للنقر على رابط. يتم توجيه المستخدمين الذين يتابعون إلى صفحة تصيد مستضافة على موقع شرعي تم اختراقه سابقًا.
تبدو الصفحة كصفحة رسمية من SSA وتطلب من المستخدم تأكيد عنوان بريده الإلكتروني وتنزيل ما يبدو أنه بيان حقيقي من SSA. في الواقع، الملف هو تنفيذ ضار يبدأ سلسلة من الإجراءات التي تؤدي إلى تثبيت أدوات RMM SimpleHelp وScreenConnect على نظامهم.
من الجدير بالذكر، وفقًا لـ Securonix، أن مشغل حملة VENOMOUS#HELPER يستخدم كل من الأداتين لأغراض مختلفة. تُعتبر SimpleHelp القناة الرئيسية لأداة RMM، التي يستخدمها المهاجم لتشغيل السكربتات والأوامر، وتنفيذ المهام الآلية، وإجراء المراقبة المستمرة للأنظمة المصابة. بينما يستخدمون ScreenConnect، من ناحية أخرى، للتحكم التفاعلي في سطح المكتب.
أظهر تحليل Securonix أن الأدوات تعمل بهدوء ولكن باستمرار على الأنظمة المخترقة، حيث تقوم بأداء مئات من الإجراءات الخلفية في فترة زمنية قصيرة، بما في ذلك التحقق من الاتصال الشبكي، ونشاط المستخدم، والأدوات الأمنية المثبتة. وجدت الشركة الأمنية أن المهاجم يتتبع حركة المؤشر لتحديد متى قد يكون المستخدم بعيدًا عن أنظمته حتى يتمكن من تنفيذ هجمات مباشرة.
يقول آرون بيردسلي، مدير أبحاث التهديدات في Securonix، إن الأدلة المتاحة تشير إلى أن الهجمات قد تكون مستهدفة ومصممة لجذب انتباه المستخدمين المهتمين فعلاً بمواضيع الضمان الاجتماعي، وخاصة البيانات في هذه الحالة.
“من مجموعة العينات الصغيرة، نعتقد أن هذه الحملة قد تستهدف رسائل البريد الإلكتروني الشخصية للموظفين من المستوى الأعلى على أمل أن يفتح هؤلاء الأفراد بريدهم الشخصي على الأجهزة الخاصة بالشركة،” يقول بيردسلي، مضيفًا أن هناك أيضًا بعض البيانات التي تشير إلى أن المهاجم مهتم بالأفراد الذين لديهم وصول إلى أصول عملاتهم المشفرة.
تسلط الحملات مثل هذه الضوء على سبب ضرورة أن تزرع فرق الأمان جرعة صحية من “البارانويا الإلكترونية” داخل منظماتهم، كما يشير بيردسلي. في هذه الحالة المحددة، سيكون أي شخص على دراية بالأمان قادرًا على رصد رسائل SSA على أنها مزيفة. “لكن موظف المبيعات أو الموارد البشرية أو موظف من المستوى التنفيذي قد لا يكون مدركًا لطريقة تفكير المهاجمين،” كما يقول. “هنا يأتي دور برنامج أمان قوي يزرع ‘البارانويا الإلكترونية’ كأمر أساسي.”
يمكن أن يكون تسجيل نشاط النقاط النهائية، جنبًا إلى جنب مع منصة SIEM أو EDR قوية تلتقط نشاط النظام بالتفصيل، مفيدًا أيضًا في الكشف بسرعة عن السلوك غير المعتاد، بما في ذلك التثبيت غير المصرح به لأدوات RMM، كما يشرح بيردسلي.
“يمكن أن تمنع قوائم التطبيقات المسموح بها هذه الهجمات تمامًا،” كما يقول. “يضيف مراقبة الشبكة طبقة أخرى من المساعدة في اكتشاف وحظر الأنشطة المشبوهة. لكن لا شيء من هذا يساعد إذا وقع المستخدمون في فخ على الأجهزة الشخصية.”
تتطلب الحماية من مثل هذه الهجمات وعيًا أمنيًا مستمرًا وتطبيق استراتيجيات فعالة. يجب على المؤسسات تعزيز ثقافة الأمان لمواجهة التهديدات المتزايدة.
