الأمن السيبراني

حملة التصيد الاحتيالي VENOMOUS#HELPER تستهدف أكثر من 80 مؤسسة أمريكية عبر أدوات الإدارة عن بُعد

5 مايو 20264 دقيقة قراءة

By ماركوس ويبر — معتمد CISSP، 12 عاماً في صحافة الأمن السيبراني

حملة التصيد الاحتيالي VENOMOUS#HELPER تستهدف أكثر من 80 مؤسسة أمريكية عبر أدوات الإدارة عن بُعد

حملة تصيد احتيالي تختبئ في العلن

اخترقت حملة تصيد احتيالي متطورة تُعرف بـ VENOMOUS#HELPER أكثر من 80 مؤسسة في جميع أنحاء الولايات المتحدة، وما يجعلها مثيرة للقلق بشكل خاص ليس الأدوات التي طوّرها المهاجمون، بل الأدوات التي استعاروها. تستغل الحملة برامج الرصد والإدارة عن بُعد (RMM) الشرعية، وتحديداً SimpleHelp وScreenConnect، لتأسيس وصول عن بُعد مستمر داخل شبكات الضحايا.

تُستخدم أدوات RMM على نطاق واسع من قِبل أقسام تكنولوجيا المعلومات ومزودي الخدمات المُدارة لتشخيص نقاط النهاية وتحديثها وإدارتها عن بُعد. ونظراً لأنها موثوقة لدى مرشحات الأمان المؤسسية، فإنها تمثل وسيلة جذابة للمهاجمين الراغبين في الاندماج مع حركة الشبكة الاعتيادية. وتستغل VENOMOUS#HELPER هذه الثقة استغلالاً كاملاً.

تبدأ سلسلة الهجوم برسائل تصيد احتيالي تُوجّه الضحايا إلى مواقع ويب تجارية مخترقة. يُساعد استخدام نطاقات حقيقية وشرعية سابقاً في تهرب الحملة من مرشحات أمان البريد الإلكتروني وعمليات فحص سمعة الويب التي تُعلّم المواقع غير المعروفة أو المسجلة حديثاً. وبمجرد تفاعل الضحية مع المحتوى الضار، يُثبَّت برنامج RMM بصمت، مما يمنح المهاجمين موطئ قدم دائماً يمكنه البقاء بعد إعادة التشغيل وعمليات فحص نقاط النهاية وحتى بعض عمليات نشر أدوات الأمان.

كيف تتحول برامج RMM إلى مسؤولية

المشكلة الجوهرية التي كشفت عنها VENOMOUS#HELPER ليست أن SimpleHelp أو ScreenConnect غير آمنَين بطبيعتهما. فهذان منتجان ذوا سمعة طيبة تستخدمهما آلاف فرق تكنولوجيا المعلومات الشرعية يومياً. المشكلة هي أن المهاجمين اكتشفوا كيفية تسليح الميزات ذاتها التي تجعل هذه الأدوات مفيدة: التثبيت الخفيف، والاتصال الدائم، والقدرة على التحرك عبر الشبكة.

بمجرد التثبيت، تتصل عملاء RMM عادةً بالخارج عبر منافذ الويب القياسية التي تسمح بها كثير من جدران الحماية افتراضياً. وهذا يعني أن المهاجم الذي يتحكم في جلسة RMM مارقة يمكنه التحرك أفقياً إلى الأنظمة المجاورة، وسحب البيانات، أو نشر برامج ضارة إضافية، وكل ذلك في حين تبدو الأنشطة كنشاط تكنولوجيا معلومات روتيني على لوحات مراقبة الشبكة.

يُضيف استخدام مواقع الويب التابعة لجهات خارجية مخترقة كآلية تسليم طبقة أخرى من الصعوبة للمدافعين. فمؤشرات الاختراق التقليدية، كالإشارة إلى النطاقات غير المعروفة أو الملفات التنفيذية غير الموقّعة، تكون أقل فعالية عندما يصل الحمل الضار من موقع صنّفته أدوات الأمان بالفعل على أنه آمن.

ماذا يعني هذا بالنسبة لك

بالنسبة للأفراد، ولا سيما العاملين عن بُعد أو في بيئات هجينة، تُعدّ هذه الحملة تذكيراً بأن البرامج التي يستخدمها صاحب العمل لإدارة جهازك تنطوي على مخاطر حقيقية إذا لم تُدار بشكل صحيح. تعمل أدوات RMM عادةً بصلاحيات مرتفعة. فإذا تمكن مهاجم من السيطرة على تلك القناة، أصبح بإمكانه الوصول الواسع إلى جهازك وربما إلى الملفات وبيانات الاعتماد الموجودة عليه.

هذا ليس سبباً للذعر، لكنه سبب لطرح الأسئلة. للموظفين مصلحة مشروعة في معرفة برامج الوصول عن بُعد المثبتة على أجهزتهم، ومن يملك القدرة على بدء جلسة، وما إذا كانت تلك الجلسات مُسجَّلة وقابلة للمراجعة. ينبغي أن يكون أصحاب العمل المسؤولون قادرين على الإجابة عن الأسئلة الثلاثة بوضوح.

بالنسبة للمؤسسات، تُوضح VENOMOUS#HELPER سبب أهمية مبادئ الثقة المعدومة (Zero-Trust) من الناحية العملية. لا تفترض بنية الثقة المعدومة أن حركة المرور الصادرة من أداة موثوقة أو عنوان IP معروف آمنة تلقائياً. إذ تُتحقق من كل جلسة وكل طلب وصول وكل اتصال أفقي. إلى جانب المصادقة متعددة العوامل وتجزئة الشبكة، يُقيّد هذا النهج بشكل كبير ما يمكن للمهاجم فعله حتى بعد اختراقه الأولي.

يؤدي استخدام VPN داخل الشبكة المؤسسية دوراً هنا أيضاً. فالأنفاق المشفرة بين العمال عن بُعد والموارد الداخلية تُقلل من تعرض حركة المرور الحساسة للاعتراض، وتُنشئ نقطة تحقق مصادقة ثابتة يحتاج المهاجمون المستخدمون لـ RMM إلى تجاوزها.

خطوات عملية قابلة للتنفيذ

سواء كنت موظفاً فردياً أو مسؤولاً عن أمن المؤسسة، ثمة خطوات ملموسة تستحق الاتخاذ استجابةً لما تكشفه VENOMOUS#HELPER.

للأفراد:

اسأل قسم تكنولوجيا المعلومات عن برامج RMM المثبتة على أجهزة عملك، واطلب سياسة مكتوبة حول كيفية بدء الجلسات عن بُعد وتسجيلها.
كن حذراً مع رسائل البريد الإلكتروني التي تُوجهك إلى مواقع خارجية، حتى تلك التي تبدو مألوفة أو احترافية.
أبلغ عن أي شيء يُثبّت برامج أو يطلب أذونات مرتفعة دون طلب مسبق وواضح منك.

للمؤسسات:

راجع جميع أدوات RMM المنشورة وتأكد من وجود إصدارات مُصرّح بها فقط بتكوينات معروفة على نقاط النهاية.
امنع برامج RMM من التواصل مع أي خادم خارج البنية التحتية المعتمدة للموردين.
نفّذ قوائم السماح بالتطبيقات لمنع عملاء RMM غير المُصرّح بهم من التنفيذ.
تعامل مع محاكاة التصيد الاحتيالي كبرنامج مستمر لا تمريناً لمرة واحدة، ولا سيما للموظفين الذين يتعاملون مع موردين خارجيين.

تُعدّ VENOMOUS#HELPER دراسة حالة مفيدة في كيفية تكيّف المهاجمين مع بيئة تكنولوجيا المعلومات الحديثة. بدلاً من مواجهة أدوات الأمان مباشرة، يجدون طرقاً لاستخدام البرامج الموثوقة كغطاء. وأفضل دفاع هو الدفاع متعدد الطبقات: مستخدمون متشككون، وسياسات شبكة صارمة، وبنى أمنية تفترض دائماً إمكانية الاختراق.

// الأسئلة الشائعة

ما هي حملة VENOMOUS#HELPER؟

VENOMOUS#HELPER هي حملة تصيد احتيالي متطورة اخترقت أكثر من 80 مؤسسة في جميع أنحاء الولايات المتحدة. تستغل الحملة برامج الرصد والإدارة عن بُعد (RMM) الشرعية، وتحديداً SimpleHelp وScreenConnect، لتأسيس وصول عن بُعد مستمر داخل شبكات الضحايا.

كيف يبدأ الهجوم؟

تبدأ سلسلة الهجوم برسائل تصيد احتيالي تُوجّه الضحايا إلى مواقع ويب تجارية مخترقة باستخدام نطاقات حقيقية وشرعية سابقاً. وبمجرد تفاعل الضحية مع المحتوى الضار، يُثبَّت برنامج RMM بصمت على جهازها.

لماذا تكون أدوات RMM مفيدة بشكل خاص للمهاجمين في هذه الحملة؟

تحظى أدوات RMM بثقة مرشحات الأمان المؤسسية وتتصل بالخارج عبر منافذ الويب القياسية التي تسمح بها كثير من جدران الحماية افتراضياً، مما يتيح للمهاجمين الاندماج مع حركة الشبكة الاعتيادية. كما أن مميزاتها، بما فيها التثبيت الخفيف والاتصال الدائم وإمكانية التحرك عبر الشبكة، تجعلها فعّالة للأغراض الخبيثة.

لماذا يصعب على المدافعين اكتشاف هذه الحملة؟

تستخدم الحملة مواقع ويب تابعة لجهات خارجية مخترقة صنّفتها أدوات الأمان بالفعل على أنها آمنة، مما يجعل مؤشرات الاختراق التقليدية أقل فعالية. كما يبدو النشاط الضار كنشاط تكنولوجيا معلومات روتيني على لوحات مراقبة الشبكة.

ما المخاطر التي تشكّلها هذه الحملة على الموظفين الأفراد؟

تعمل أدوات RMM عادةً بصلاحيات مرتفعة، مما يعني أن المهاجم الذي يسيطر على تلك القناة يمتلك وصولاً واسعاً إلى جهاز الضحية، بما في ذلك الملفات وبيانات الاعتماد. وقد سُلّط الضوء تحديداً على الموظفين العاملين عن بُعد أو في بيئات هجينة باعتبارهم الأكثر عرضة للخطر.

حملة تصيد احتيالي تختبئ في العلن

كيف تتحول برامج RMM إلى مسؤولية

ماذا يعني هذا بالنسبة لك

خطوات عملية قابلة للتنفيذ

// الأسئلة الشائعة

// ذات صلة