حملة تصيد احتيالي من نوع VENOMOUS#HELPER

بدأت حملة تصيد احتيالي متطورة، تحمل اسم VENOMOUS#HELPER، نشاطها منذ أبريل 2025 على الأقل، مستهدفةً عدة نقاط ضعف من خلال استغلال أدوات المراقبة والإدارة عن بُعد (RMM) المشروعة. وقد تأثرت بها أكثر من 80 مؤسسة، معظمها في الولايات المتحدة. ويتداخل هذا النشاط مع مجموعات موثقة سابقًا تُعرف باسم STAC6405. ورغم أن تحديد مصدر الهجوم لا يزال غير مؤكد، إلا أن أنماط العمليات تتوافق بشكل كبير مع وسطاء الوصول الأولي (IABs) ذوي الدوافع المالية، أو مجموعات برامج الفدية التي تسعى إلى ترسيخ وجودها تمهيدًا لاستغلالها لاحقًا.

الاعتماد على الأدوات الموثوقة: إساءة استخدام برامج إدارة ومراقبة الأجهزة عن بُعد المشروعة

بدلاً من استخدام برامج خبيثة صريحة، يعتمد المهاجمون على نسخ مُعدّلة من أدوات شرعية مثل SimpleHelp و ConnectWise ScreenConnect. ولأن هذه التطبيقات شائعة الاستخدام في بيئات المؤسسات، فإن وجودها غالباً ما يتجاوز ضوابط الأمان التقليدية ويتجنب إثارة الشكوك.

يُعدّ استخدام الأداتين معًا تكتيكًا مُتعمّدًا. فمن خلال إنشاء قناتي وصول عن بُعد، يضمن المهاجمون استمرارية العمليات. فإذا تمّ اكتشاف إحدى القناتين وتعطيلها، تبقى القناة الثانية نشطة، مما يسمح باستمرار الوصول غير المصرح به دون انقطاع.

نقطة دخول التصيد الاحتيالي: الهندسة الاجتماعية بتنكر موثوق

تبدأ سلسلة الهجوم برسالة بريد إلكتروني مُصممة بعناية للتصيد الاحتيالي، تنتحل صفة إدارة الضمان الاجتماعي الأمريكية. تحث الرسالة المستلمين على التحقق من عناوين بريدهم الإلكتروني وتنزيل بيان مزعوم من إدارة الضمان الاجتماعي عبر رابط مضمن.

والجدير بالذكر أن الرابط يُحيل الضحايا إلى موقع إلكتروني تجاري مكسيكي شرعي ولكنه مُخترق، مما يُظهر محاولة مُتعمدة للتحايل على فلاتر البريد العشوائي وأنظمة الحماية القائمة على السمعة. ومن هناك، يُعاد توجيه الضحايا إلى نطاق ثانٍ يُسيطر عليه المُهاجم، والذي يستضيف حمولة خبيثة مُتنكرة في هيئة وثيقة شرعية.

توصيل الحمولة واستمراريتها: هندسة الوصول طويل الأمد

بمجرد تنزيل الحمولة، المعبأة كملف تنفيذي لنظام ويندوز، تبدأ عملية تثبيت أداة SimpleHelp RMM. ويُعتقد أن المهاجمين قد اخترقوا حساب cPanel على خادم الاستضافة لتجهيز الملف الخبيث.

بعد التنفيذ، تُرسّخ البرامج الضارة استمراريتها ومرونتها من خلال عدة آليات:

• التثبيت كخدمة ويندوز مع إمكانية استمرار الوضع الآمن
• نشر نظام مراقبة ذاتي الإصلاح يقوم بإعادة تشغيل الخدمة تلقائيًا في حالة توقفها.
• يتم إجراء تعداد دوري لمنتجات الأمان المثبتة عبر مساحة اسم WMI الخاصة بـ root\SecurityCenter2 كل 67 ثانية

تضمن هذه التقنيات أن يظل الوجود الخبيث نشطًا وقادرًا على التكيف ويصعب القضاء عليه.

تصعيد الامتيازات والتحكم الكامل في النظام

لتحقيق تحكم تفاعلي كامل في النظام المخترق، يقوم عميل SimpleHelp برفع مستوى صلاحياته من خلال الحصول على صلاحية SeDebugPrivilege عبر AdjustTokenPrivileges. بالإضافة إلى ذلك، يتم استغلال مكون شرعي من البرنامج، وهو 'elev_win.exe'، للحصول على صلاحيات النظام.

يُمكّن هذا المستوى المرتفع من الامتيازات المهاجمين من:

• مراقبة وتسجيل نشاط الشاشة
• إدخال ضغطات المفاتيح في الوقت الفعلي
• الوصول إلى الموارد الحساسة ضمن سياق المستخدم

تمنح هذه القدرات سيطرة كاملة وفعالة على بيئة الضحية دون إطلاق تنبيهات أمنية تقليدية.

استراتيجية الوصول الاحتياطية: ScreenConnect كقناة احتياطية

بعد إنشاء قناة الوصول الأساسية، يقوم المهاجمون بنشر برنامج ConnectWise ScreenConnect كآلية وصول عن بُعد ثانوية. وهذا يضمن استمرارية الوصول حتى في حال تم تحديد اتصال SimpleHelp الأولي وحظره.

إن استخدام أدوات شرعية متعددة يسلط الضوء على استراتيجية وصول متعددة الطبقات مصممة لتحقيق المتانة والتخفي، مما يعقد جهود الكشف والاستجابة للحوادث.

الأثر العملياتي: تحكم صامت بعيدًا عن الأنظار

يوفر الإصدار المُثبّت من SimpleHelp (5.0.1) مجموعةً قويةً من ميزات الإدارة عن بُعد. وبمجرد دمجه في بيئة النظام، يتمكن المهاجمون من العمل بحرية وسرية تامة. وتبقى المؤسسة المخترقة عرضةً للاستغلال المستمر، إذ يستطيع المهاجمون إعادة الدخول إلى النظام متى شاؤوا.

تُصبح البيئة فعلياً أصلاً خاضعاً للتحكم، حيث يستطيع المهاجمون تنفيذ الأوامر بصمت، ونقل الملفات في كلا الاتجاهين، والتنقل أفقياً عبر الشبكة. ولأن جميع الأنشطة تبدو وكأنها صادرة من برامج موقّعة بشكل قانوني من إنتاج شركة بريطانية موثوقة، فإن برامج مكافحة الفيروسات التقليدية وأنظمة الحماية القائمة على التوقيعات غالباً ما تفشل في اكتشاف الاختراق.

الخلاصة: مخطط للاختراقات الحديثة

يُجسّد برنامج VENOMOUS#HELPER التوجه المتزايد نحو استغلال الأدوات الإدارية المشروعة لأغراض خبيثة. فمن خلال الجمع بين الهندسة الاجتماعية، وإساءة استخدام البرامج الموثوقة، وآليات الوصول الاحتياطية، يحقق البرنامج استمراريةً وتخفياً ومرونة تشغيلية. ويؤكد هذا النهج على الحاجة المُلحة لمراقبة السلوك، وتطبيق مبادئ انعدام الثقة، وتعزيز التدقيق في استخدام الأدوات المشروعة داخل بيئات المؤسسات.