استخدام TA558 لبرامج نصية تم إنشاؤها بواسطة الذكاء الاصطناعي لنشر Venom RAT في هجمات الفنادق في البرازيل
تمت نسبة الفاعل المعروف باسم TA558 إلى مجموعة جديدة من الهجمات التي تسلم مجموعة متنوعة من برامج الوصول عن بُعد (RATs) مثل Venom RAT لاختراق الفنادق في البرازيل والأسواق الناطقة بالإسبانية.
تتبع شركة كاسبرسكي الروسية للأمن السيبراني هذا النشاط، الذي تم ملاحظته في صيف عام 2025، إلى مجموعة تُعرف باسم RevengeHotels.
“يستمر الفاعلون في استخدام رسائل البريد الإلكتروني الاحتيالية ذات مواضيع الفواتير لتسليم زراعة Venom RAT عبر محملات JavaScript وPowerShell ،” كما قالت الشركة. “يبدو أن جزءًا كبيرًا من كود المُعَدِّل الأولي وكود المُحمِّل في هذه الحملة تم إنشاؤه بواسطة وكلاء نماذج اللغة الكبيرة (LLM).”
تظهر النتائج اتجاهًا جديدًا بين مجموعات المجرمين السيبرانيين للاستفادة من الذكاء الاصطناعي (AI) لتعزيز مهاراتهم.
تاريخ RevengeHotels
معروفة بأنها نشطة منذ عام 2015 على الأقل، تتمتع RevengeHotels بتاريخ من استهداف منظمات الضيافة والفنادق والسفر في أمريكا اللاتينية بهدف تثبيت البرمجيات الضارة على الأنظمة المخترقة.
تم العثور على النسخ الأولى من حملات الفاعل لتوزيع رسائل بريد إلكتروني تحتوي على مستندات Word وExcel أو PDF مُصممة، بعضها يستغل ثغرة تنفيذ كود عن بُعد معروفة في Microsoft Office (CVE-2017-0199) لتفعيل نشر Revenge RAT وNjRAT وNanoCoreRAT و888 RAT، بالإضافة إلى قطعة من البرمجيات الضارة المخصصة تسمى ProCC.
أظهرت الحملات اللاحقة التي وثقتها Proofpoint وPositive Technologies قدرة الفاعل على تحسين سلاسل هجماته لتسليم مجموعة واسعة من RATs مثل Agent Tesla وAsyncRAT وFormBook وGuLoader وLoda RAT وLokiBot وRemcos RAT وSnake Keylogger وVjw0rm.
الهدف الرئيسي من الهجمات هو التقاط بيانات بطاقات الائتمان من الضيوف والمسافرين المخزنة في أنظمة الفنادق، فضلاً عن بيانات بطاقات الائتمان المستلمة من وكالات السفر عبر الإنترنت الشهيرة مثل Booking.com.
استراتيجيات الهجوم الحديثة
وفقًا لكاسبرسكي، تشمل الحملات الأخيرة إرسال رسائل بريد إلكتروني احتيالية مكتوبة باللغة البرتغالية والإسبانية تحمل مغريات حجز الفنادق وطلبات التوظيف لخداع المستلمين للنقر على الروابط الاحتيالية، مما يؤدي إلى تحميل حزمة JavaScript باستخدام WScript.
“يبدو أن البرنامج النصي تم إنشاؤه بواسطة نموذج لغة كبير (LLM)، كما يتضح من كوده المعلق بكثافة وشكله المماثل لتلك التي تنتجها هذه التكنولوجيا،” قالت الشركة. “الوظيفة الرئيسية للبرنامج النصي هي تحميل البرامج النصية اللاحقة التي تسهل العدوى.”
يشمل ذلك برنامج PowerShell الذي يسترجع بدوره مُحمِّلًا يُدعى “cargajecerrr.txt” من خادم خارجي ويقوم بتشغيله عبر PowerShell. المُحمِّل، كما يوحي الاسم، يجلب حمليْن إضافيْن: مُحمِّل مسؤول عن إطلاق برمجيات Venom RAT الضارة.
استنادًا إلى Quasar RAT مفتوح المصدر، فإن Venom RAT هو أداة تجارية تُعرض بسعر 650 دولارًا للحصول على ترخيص مدى الحياة. يكلف الاشتراك لمدة شهر واحد الذي يجمع بين البرمجيات الضارة مع مكونات HVNC وStealer، 350 دولارًا.
البرمجيات الضارة مجهزة لسحب البيانات، والعمل كوكيل عكسي، وتحتوي على آلية حماية ضد القتل لضمان تشغيلها دون انقطاع. لتحقيق ذلك، تعدل قائمة التحكم في الوصول التقديرية (DACL) المرتبطة بالعملية الجارية لإزالة أي أذونات قد تتداخل مع عملها، وتقوم بإنهاء أي عملية جارية تتطابق مع أي من العمليات المدخلة في الكود.
“تشمل الميزة الثانية من تدابير الحماية ضد القتل خيطًا يعمل في حلقة مستمرة، يتحقق من قائمة العمليات الجارية كل 50 مللي ثانية،” قالت كاسبرسكي.
“تستهدف الحلقة بشكل خاص تلك العمليات المستخدمة عادةً من قبل محللي الأمن ومديري النظام لمراقبة نشاط المضيف أو تحليل ثنائيات .NET، من بين مهام أخرى. إذا اكتشف RAT أي من هذه العمليات، فسيقوم بإنهائها دون مطالبة المستخدم.”
القدرات المتقدمة لبرمجيات Venom RAT
تأتي ميزة الحماية ضد القتل أيضًا مزودة بالقدرة على إعداد الاستمرارية على المضيف باستخدام تعديلات سجل Windows وإعادة تشغيل البرمجيات الضارة في أي وقت لا توجد فيه العملية المرتبطة في قائمة العمليات الجارية.
إذا تم تنفيذ البرمجيات الضارة بامتيازات مرتفعة، فإنها تتابع لتعيين رمز SeDebugPrivilege وتحدد نفسها كعملية نظام حرجة، مما يسمح لها بالاستمرار حتى عند محاولة إنهاء العملية. كما تجبر شاشة الكمبيوتر على البقاء قيد التشغيل وتمنعها من الدخول في وضع السكون.
أخيرًا، تتضمن آثار Venom RAT قدرات للانتشار عبر محركات الأقراص USB القابلة للإزالة وإنهاء العملية المرتبطة ببرنامج Microsoft Defender Antivirus، بالإضافة إلى العبث بجدول المهام والسجل لتعطيل البرنامج الأمني.
“لقد عززت RevengeHotels بشكل كبير قدراتها، حيث طورت تكتيكات جديدة لاستهداف قطاعات الضيافة والسياحة،” قالت كاسبرسكي. “بمساعدة وكلاء LLM، تمكنت المجموعة من إنشاء وتعديل مغريات التصيد الخاصة بها، مما أدى إلى توسيع هجماتها إلى مناطق جديدة.”
