اكتشاف حملة تصيد احتيالية تستخدم أدوات إدارة عن بُعد الشرعية لسرقة البيانات واستمرار التوغل
كشف فريق Huntress للأبحاث الأمنية عن حملة تصيد احتيالية متطورة تستهدف المؤسسات باستخدام أدوات إدارة عن بعد (RMM) شرعية مثل Tiflux و UltraVNC و Splashtop و ScreenConnect، بهدف السيطرة على الأجهزة واستمرار التهديد وسرقة البيانات الحساسة للأعمال.
### بداية الهجوم: رسائل بريد إلكتروني وهمية وخطيرة
تبدأ الحملة برسائل بريد إلكتروني مزيفة تُحاك على شكل اتفاقية خدمة محدثة من شركة “Network Solutions”. تزعم الرسائل أن الشركة قامت بتعديل أسعارها وخدماتها، وتحث الضحايا على زيارة رابط لمراجعة المواصفات الجديدة وقبولها. عند النقر على الرابط، يُطلب من المستخدمين إكمال اختبار CAPTCHA، بهدف استبعاد الروبوتات، ثم يُطلب منهم تحميل ملف يُزعم أنه وثيقة مؤمنة، لكنه في الواقع مثبت لبرنامج Tiflux، وهو أداة شرعية لإدارة الأجهزة عن بُعد.
### استغلال الثغرات والبرامج الشرعية
بالإضافة إلى Tiflux، يُقدم الضحايا برامج أخرى مثل 7zip، وإصدار قديم من UltraVNC، بالإضافة إلى برنامج تشغيل (Driver) يُعرف بـ HwRwDrv.x64، وهو ثغرة تُستخدم لرفع الامتيازات والوصول إلى صلاحيات أعلى على النظام. يُعد استغلال هذا الثغرة هو الخطوة الأساسية لتمكين المهاجمين من السيطرة الكاملة على الأجهزة.
### السيطرة المستمرة وسرقة البيانات
بعد تثبيت الأدوات، يستخدم المهاجمون Tiflux لتثبيت أدوات أخرى مثل Splashtop و ScreenConnect، بهدف مراقبة الأجهزة بشكل مباشر، وأخذ لقطات شاشة حية، وتشغيل أدوات النظام، والحفاظ على الوصول المستمر. كما يتم نقل البيانات بشكل مستمر إلى خوادم خارجية، مما يعرض المؤسسات لخطر سرقة المعلومات الحساسة.
### الدليل على خلفية الجهة المهاجمة
رصدت Huntress هذه الهجمات منذ أواخر فبراير من العام الجاري، وتُشير الأدلة إلى أن البنية التحتية للمهاجمين تقع في البرازيل، مع استخدام خوادم ذات نطاقات تنتهي بامتداد البلد (ccTLD) البرازيلي. ويُعتقد أن المهاجمين يستهدفون الشركات والبنى التحتية في البرازيل، معتمدين على أدوات وبرمجيات شرعية لتمويه أنشطتهم.
### طرق الدفاع والحماية
لحماية المؤسسات من هذه الهجمات، يُنصح بإنشاء سجل شامل بجميع البرامج والأدوات المثبتة على الأنظمة، وتطبيق قواعد صارمة للتحكم في التطبيقات. كما يُعد التدقيق المنتظم على أدوات إدارة الأجهزة عن بعد، ومراجعة سجلات النشاط، ومقارنة الأدوات مع قواعد بيانات مثل LOLRMM من الطرق الفعالة لرصد الأدوات التي يُحتمل أن يستخدمها المهاجمون بشكل غير مشروع.
### الخلاصة
تُظهر هذه الحملة أن المهاجمين يستغلون أدوات إدارة عن بعد شرعية ومألوفة، ويستخدمونها لتمويه هجماتهم، مما يتطلب من المؤسسات اليقظة وتحديث استراتيجيات الأمان لمواجهة هذه التهديدات المتطورة.
—
اتبع تقارير TechRadar Pro لتبقى على اطلاع بأحدث الأخبار والنصائح التقنية التي تساعد عملك على النجاح!
المصدر: Latest from TechRadar in Computing
