كشف باحثون في الأمن السيبراني عن هجوم جديد استغل فيه قراصنة مجهولون أداة مفتوحة المصدر تُعرف باسم Velociraptor، المخصصة لمراقبة الأجهزة الجنائية والتحقيقات الرقمية، لتنفيذ أنشطة خبيثة.
وبحسب تقرير صادر عن فريق Sophos Counter Threat Unit، فقد استخدم المهاجمون الأداة لتنزيل وتشغيل Visual Studio Code بغرض إنشاء نفق (Tunnel) مع خادم C2 يتحكم به المهاجمون.
أسلوب “العيش من موارد النظام” يتطور
عادةً ما يلجأ المهاجمون إلى تقنيات Living-off-the-Land (LotL) أو أدوات المراقبة والإدارة عن بُعد (RMM) المشروعة، إلا أن استخدام Velociraptor يمثل تطوراً تكتيكياً، حيث يتم استغلال برامج الاستجابة للحوادث نفسها لتأمين موطئ قدم في النظام وتقليل الحاجة إلى برمجيات خبيثة مخصّصة.
تفاصيل الهجوم
أظهر تحليل الحادثة أن المهاجمين اعتمدوا على أداة msiexec في نظام ويندوز لتنزيل ملف MSI من نطاق تابع لـ Cloudflare Workers، والذي استخدم كنقطة انطلاق لأدوات إضافية مثل أداة نفق Cloudflare وبرنامج الإدارة عن بُعد Radmin.
ويقوم ملف MSI بتثبيت Velociraptor الذي يتواصل مع نطاق آخر على Cloudflare، ثم يستخدم لتنزيل Visual Studio Code عبر أوامر PowerShell مشفرة، وتشغيله بخاصية النفق لتمكين الوصول والتحكم عن بُعد.
كما لوحظ أن المهاجمين استخدموا msiexec مجدداً لتنزيل حمولة إضافية من مجلد workers[.]dev.
تحذيرات من تهديدات أكبر
أوصت شركة Sophos المؤسسات بمراقبة أي استخدام غير مصرح به لأداة Velociraptor، واعتبار هذه الأنشطة مؤشراً مبكراً لهجوم فدية. ونصحت بتنفيذ أنظمة EDR للكشف عن السلوكيات المشبوهة، وتطبيق أفضل ممارسات النسخ الاحتياطي وحماية الأنظمة.
استغلال Microsoft Teams للوصول الأولي
بالتوازي، كشفت شركات Hunters وPermiso عن حملة خبيثة أخرى تستغل منصة Microsoft Teams كوسيلة للوصول الأولي إلى الأنظمة.
ويقوم المهاجمون بإنشاء حسابات جديدة أو استخدام حسابات مخترقة لإرسال رسائل مباشرة أو إجراء مكالمات مع الضحايا، منتحلين صفة فرق الدعم الفني، لإقناعهم بتثبيت برامج وصول عن بُعد مثل AnyDesk أو DWAgent أو Quick Assist، ثم استغلالها لتوزيع برمجيات خبيثة عبر أوامر PowerShell.
وأوضحت Permiso أن الرسائل تكون مصممة لتبدو طبيعية مثل “مساعدة تقنية” أو “صيانة النظام”، مما يقلل من احتمالية إثارة الشك.
حملات خبيثة عبر الإعلانات المضللة
كما تزامنت هذه الاكتشافات مع حملة Malvertising جديدة تستغل روابط مشروعة على office[.]com مع خدمة Active Directory Federation Services (ADFS) لإعادة توجيه الضحايا إلى صفحات تصيّد تحاكي تسجيل الدخول في Microsoft 365.
وقال لوك جينينغز من شركة Push Security إن المهاجمين أنشأوا مستأجراً مخصصاً على مايكروسوفت مع ADFS مهيأ، ما يسمح بإعادة توجيه المستخدمين تلقائياً إلى نطاق خبيث تحت سيطرة المهاجمين.
وتشير هذه الحوادث إلى أن المهاجمين يتبنون بشكل متزايد أدوات مشروعة ويعيدون توظيفها في أنشطة خبيثة، سواء عبر أدوات جنائية مثل Velociraptor أو منصات تواصل موثوقة مثل Microsoft Teams. وهو ما يتطلب من المؤسسات تعزيز قدرات الكشف المبكر وتدريب الموظفين على التحقق من أي رسائل أو طلبات دعم غير متوقعة.
