كشف باحثون في الأمن السيبراني عن مجموعة أدوات وصول عن بُعد (Remote Access Toolkit) ذات منشأ روسي، تُعرف باسم CTRL Toolkit، يتم توزيعها عبر ملفات اختصار خبيثة (LNK) في نظام ويندوز، تُموَّه على شكل مجلدات مفاتيح خاصة لخداع المستخدمين. هذه الأداة، المبنية باستخدام إطار عمل .NET، صُممت خصيصًا لتسهيل عمليات سرقة بيانات الاعتماد، تسجيل ضغطات لوحة المفاتيح، اختطاف جلسات بروتوكول سطح المكتب البعيد (RDP)، وإنشاء أنفاق عكسية باستخدام Fast Reverse Proxy (FRP).
آلية الهجوم عبر ملفات LNK
وفقًا لمنصة Censys، يتم نشر الأداة عبر ملف اختصار يحمل اسم “Private Key #kfxm7p9q_yek.lnk” بأيقونة مجلد، ما يدفع المستخدمين إلى النقر عليه. هذا الملف ينفذ سلسلة متعددة المراحل تبدأ بفك تشفير أو ضغط مكونات خفية، وتنتهي بنشر الأداة على الجهاز المستهدف. الملف يقوم بتشغيل أوامر PowerShell مخفية، ويزيل آليات الاستمرارية السابقة من مجلد بدء التشغيل، ثم يفك شفرة بيانات مشفرة بـ Base64 ويشغلها في الذاكرة، قبل أن يتصل بخادم خارجي لتنزيل الحمولات التالية.
قدرات الأداة الخبيثة
من بين الحمولات التي يتم تنزيلها ملف “ctrl.exe”، وهو محمل .NET يعمل كمنصة إدارة يمكن تشغيلها كخادم أو عميل بحسب الأوامر. التواصل يتم عبر Windows Named Pipe، ما يجعل حركة أوامر التحكم محلية داخل الجهاز ولا تُرصد عبر الشبكة، باستثناء جلسة RDP نفسها. الأداة تدعم أوامر لجمع معلومات النظام، تشغيل وحدة لسرقة بيانات الاعتماد، وتفعيل خدمة تسجيل ضغطات المفاتيح في الخلفية، حيث تُخزن البيانات في ملف “C:\Temp\keylog.txt”.
واجهة تصيّد متقدمة
أحد أخطر مكونات الأداة هو واجهة تصيّد مصممة باستخدام Windows Presentation Foundation (WPF)، تحاكي نافذة التحقق من رقم التعريف الشخصي (PIN) في نظام Windows Hello. هذه الواجهة تمنع المستخدم من الخروج عبر اختصارات مثل Alt+Tab أو Alt+F4، وتتحقق من صحة الرقم المدخل عبر أتمتة واجهة المستخدم، بينما تسجل الرقم في ملف السجل مع وسم “[STEALUSER PIN CAPTURED]”.
أدوات إضافية لتعزيز الاختراق
إلى جانب “ctrl.exe”، يتم نشر مكونين إضافيين:
- FRPWrapper.exe: مكتبة DLL بلغة Go تُحمّل في الذاكرة لإنشاء أنفاق عكسية لجلسات RDP واتصالات TCP خام.
- RDPWrapper.exe: يتيح تشغيل جلسات RDP غير محدودة بشكل متزامن.
كما يمكن للأداة إرسال إشعارات مزيفة (Toast Notifications) تتظاهر بأنها من متصفحات مثل Chrome وEdge وOpera وVivaldi وYandex، بهدف سرقة بيانات إضافية أو نشر حمولات أخرى.
دلالات أمنية
ما يميز هذه الأداة هو تركيزها على الأمن التشغيلي (Operational Security)، حيث لا تحتوي الملفات المستضافة على عناوين C2 ثابتة، وكل عمليات استخراج البيانات تتم عبر نفق FRP داخل جلسة RDP، ما يقلل من الآثار الجنائية الشبكية مقارنة بأدوات التحكم عن بُعد التقليدية. هذا يعكس توجهًا جديدًا نحو أدوات مخصصة لمشغل واحد، تركز على التخفي والفعالية بدلًا من تنوع الخصائص.
