كشف باحثون في الأمن السيبراني عن تفاصيل حملة هجومية جديدة تعتمد على أسلوب مزدوج، حيث يبدأ المهاجمون بسرقة بيانات الدخول عبر رسائل تصيّد خادعة، ثم يستخدمون هذه البيانات لتثبيت برامج إدارة ومراقبة عن بُعد (Remote Monitoring and Management – RMM) شرعية مثل LogMeIn Resolve، بهدف الحصول على وصول مستمر إلى الأجهزة المخترقة.
ووفقاً لفريق “KnowBe4 Threat Labs”، فإن المهاجمين لا يعتمدون على برمجيات خبيثة مخصصة، بل يستغلون أدوات تقنية موثوقة يستخدمها مسؤولو الأنظمة عادةً، محولين إياها إلى “باب خلفي” دائم داخل الشبكات المستهدفة.
أسلوب الهجوم: دعوات مزيفة وتثبيت صامت
الحملة تتكون من مرحلتين أساسيتين:
- المرحلة الأولى: إرسال رسائل بريد إلكتروني مزيفة على هيئة دعوات من منصة “Greenvelope”، تهدف إلى خداع المستخدمين للنقر على روابط تصيّد مصممة لسرقة بيانات الدخول الخاصة بحسابات مثل Microsoft Outlook وYahoo! وAOL.com.
- المرحلة الثانية: استخدام البريد الإلكتروني المخترق للتسجيل في خدمة LogMeIn وإنشاء رموز وصول خاصة بـ RMM، ثم نشرها عبر ملف تنفيذي باسم “GreenVelopeCard.exe”. هذا الملف، الموقّع بشهادة رقمية صحيحة، يحتوي على إعدادات JSON تتيح تثبيت برنامج LogMeIn Resolve بشكل صامت وربطه بعنوان URL خاضع لسيطرة المهاجمين.
الوصول المستمر: مهام مخفية وإعدادات معدّلة
بعد تثبيت الأداة، يقوم المهاجمون بتعديل إعدادات الخدمة لتعمل بصلاحيات غير محدودة على نظام Windows، كما ينشئون مهام مجدولة مخفية تضمن إعادة تشغيل البرنامج تلقائياً حتى في حال محاولة المستخدم إيقافه يدوياً. هذه الآلية تمنح المهاجمين قدرة طويلة الأمد على التحكم بالجهاز، ما يزيد من خطورة الهجوم ويصعّب عملية الكشف عنه.
توصيات أمنية: مراقبة أدوات RMM
يشدد الخبراء على ضرورة أن تراقب المؤسسات أي تثبيت غير مصرح به لأدوات RMM، وأن تتابع أنماط استخدامها بشكل دوري. كما يُنصح بتطبيق سياسات وصول مشددة، وتفعيل حلول مراقبة متقدمة قادرة على رصد الأنشطة غير الطبيعية المرتبطة بخدمات الإدارة عن بُعد. فالهجمات التي تستغل أدوات شرعية باتت تمثل تحدياً متزايداً، إذ يصعب على أنظمة الحماية التقليدية التمييز بين الاستخدام المشروع والاختراق الخبيث.
