کمپین فیشینگ VENOMOUS#HELPER

یک کمپین فیشینگ پیچیده، که با نام VENOMOUS#HELPER شناخته می‌شود، حداقل از آوریل ۲۰۲۵ فعال بوده و از طریق سوءاستفاده از ابزارهای قانونی نظارت و مدیریت از راه دور (RMM)، چندین بردار حمله را هدف قرار داده است. بیش از ۸۰ سازمان، عمدتاً در ایالات متحده، تحت تأثیر قرار گرفته‌اند. این فعالیت با خوشه‌های قبلاً مستند شده با نام STAC6405 همپوشانی دارد. اگرچه انتساب آن نامشخص است، الگوهای عملیاتی به شدت با کارگزاران دسترسی اولیه (IAB) با انگیزه مالی یا گروه‌های پیشرو باج‌افزار که به دنبال ایجاد جای پایی برای بهره‌برداری‌های بعدی هستند، همسو است.

زندگی با اتکا به ابزارهای قابل اعتماد: سوءاستفاده از نرم‌افزارهای قانونی RMM

مهاجمان به جای استفاده از نرم‌افزارهای آشکارا مخرب، به نسخه‌های سفارشی‌شده‌ی ابزارهای قانونی مانند SimpleHelp و ConnectWise ScreenConnect متکی هستند. از آنجا که این برنامه‌ها معمولاً در محیط‌های سازمانی استفاده می‌شوند، حضور آنها اغلب از کنترل‌های امنیتی سنتی عبور می‌کند و از ایجاد سوءظن جلوگیری می‌کند.

استقرار همزمان هر دو ابزار یک تاکتیک عمدی است. با ایجاد کانال‌های دسترسی از راه دور دوگانه، مهاجمان انعطاف‌پذیری عملیاتی را تضمین می‌کنند. اگر یک اتصال شناسایی و خنثی شود، کانال دوم فعال می‌ماند و امکان دسترسی غیرمجاز را بدون وقفه فراهم می‌کند.

نقطه ورود فیشینگ: مهندسی اجتماعی با یک پوشش قابل اعتماد

زنجیره حمله با یک ایمیل فیشینگ که با دقت طراحی شده و خود را به جای اداره تامین اجتماعی ایالات متحده (SSA) جا می‌زند، آغاز می‌شود. این پیام از گیرندگان می‌خواهد که آدرس ایمیل خود را تأیید کرده و از طریق یک لینک جاسازی شده، یک بیانیه ادعایی SSA را دانلود کنند.

نکته قابل توجه این است که این لینک قربانیان را به یک وب‌سایت تجاری مکزیکی قانونی اما آسیب‌پذیر هدایت می‌کند که نشان‌دهنده تلاشی عمدی برای فرار از فیلترهای هرزنامه و دفاع‌های مبتنی بر اعتبار است. از آنجا، قربانیان به یک دامنه دوم تحت کنترل مهاجم هدایت می‌شوند که میزبان بار داده مخرب است که در قالب یک سند قانونی پنهان شده است.

تحویل و ماندگاری بار مفید: مهندسی دسترسی بلندمدت

پس از دانلود، این فایل مخرب که به صورت یک فایل اجرایی ویندوز بسته‌بندی شده است، نصب ابزار SimpleHelp RMM را آغاز می‌کند. اعتقاد بر این است که مهاجمان برای اجرای فایل مخرب، یک حساب cPanel را در سرور میزبان به خطر انداخته‌اند.

پس از اجرا، این بدافزار از طریق چندین مکانیسم، پایداری و انعطاف‌پذیری خود را ایجاد می‌کند:

• نصب به عنوان یک سرویس ویندوز با قابلیت ماندگاری در حالت ایمن
• استقرار یک نگهبان خوددرمانگر که در صورت خاتمه، سرویس را به طور خودکار مجدداً راه‌اندازی می‌کند
• شمارش منظم محصولات امنیتی نصب‌شده از طریق فضای نام root\SecurityCenter2 WMI هر ۶۷ ثانیه

این تکنیک‌ها تضمین می‌کنند که حضور مخرب فعال، سازگار و ریشه‌کن کردن آن دشوار باقی بماند.

افزایش امتیاز و کنترل کامل سیستم

برای دستیابی به کنترل تعاملی کامل بر سیستم آسیب‌دیده، کلاینت SimpleHelp با کسب SeDebugPrivilege از طریق AdjustTokenPrivileges، امتیازات را افزایش می‌دهد. علاوه بر این، یک جزء قانونی نرم‌افزار، 'elev_win.exe'، برای دستیابی به دسترسی سطح SYSTEM مورد استفاده قرار می‌گیرد.

این سطح دسترسی بالا به مهاجمان امکان می‌دهد تا:

• نظارت و ضبط فعالیت‌های صفحه نمایش
• تزریق کلیدها به صورت بلادرنگ
• دسترسی به منابع حساس در چارچوب کاربر

چنین قابلیت‌هایی به طور مؤثر کنترل کاملی بر محیط قربانی بدون ایجاد هشدارهای امنیتی مرسوم، اعطا می‌کنند.

استراتژی دسترسی افزونه: ScreenConnect به عنوان یک کانال جایگزین

پس از ایجاد کانال دسترسی اولیه، مهاجمان ConnectWise ScreenConnect را به عنوان یک مکانیسم دسترسی از راه دور ثانویه مستقر می‌کنند. این امر حتی اگر اتصال اولیه SimpleHelp شناسایی و مسدود شود، پایداری را تضمین می‌کند.

استفاده از چندین ابزار قانونی، یک استراتژی دسترسی لایه‌ای را که برای دوام و پنهان‌کاری طراحی شده است، برجسته می‌کند و تلاش‌های تشخیص و واکنش به حوادث را پیچیده می‌کند.

تأثیر عملیاتی: کنترل خاموش زیر رادار

نسخه SimpleHelp (5.0.1) که مستقر شده است، مجموعه‌ای قوی از ویژگی‌های مدیریت از راه دور را ارائه می‌دهد. مهاجمان پس از استقرار در محیط، توانایی فعالیت آزادانه و مخفیانه را به دست می‌آورند. سازمان آسیب‌دیده در معرض سوءاستفاده مداوم قرار می‌گیرد، زیرا مهاجمان می‌توانند به دلخواه دوباره وارد سیستم شوند.

این محیط عملاً به یک دارایی کنترل‌شده تبدیل می‌شود که در آن دشمنان می‌توانند دستورات را بی‌صدا اجرا کنند، فایل‌ها را در هر دو جهت منتقل کنند و در شبکه به صورت جانبی حرکت کنند. از آنجا که به نظر می‌رسد تمام فعالیت‌ها از نرم‌افزارهای دارای امضای قانونی تولید شده توسط یک فروشنده معتبر بریتانیایی سرچشمه می‌گیرند، آنتی‌ویروس‌های سنتی و دفاع‌های مبتنی بر امضا اغلب در تشخیص این نفوذ شکست می‌خورند.

نتیجه‌گیری: طرحی برای نفوذهای مدرن

VENOMOUS#HELPER نمونه‌ای از روند رو به رشد استفاده از ابزارهای مدیریتی مشروع برای اهداف مخرب است. این کمپین با ترکیب مهندسی اجتماعی، سوءاستفاده از نرم‌افزارهای مورد اعتماد و مکانیسم‌های دسترسی اضافی، به پایداری، پنهان‌کاری و انعطاف‌پذیری عملیاتی دست می‌یابد. این رویکرد، نیاز فوری به نظارت رفتاری، اصول اعتماد صفر و بررسی دقیق‌تر استفاده از ابزارهای مشروع در محیط‌های سازمانی را برجسته می‌کند.