هجوم جديد يستخدم Remcos RAT عديم الملفات عبر أوامر PowerShell وملفات LNK وMSHTA

كشف باحثو الأمن السيبراني عن حملة جديدة تستخدم محمّلاً للشيفرة البرمجية (shellcode loader) يعتمد على PowerShell لنشر برنامج Remcos RAT، وهو حصان طروادة للوصول عن بُعد.

وفقًا لتقرير تقني من Qualys، قام المهاجمون بتوزيع ملفات LNK خبيثة مخبأة داخل أرشيفات ZIP، غالبًا ما يتم تمويهها على أنها مستندات Office. وقال الباحث الأمني أكشاي ثورفي:

“تعتمد سلسلة الهجوم على mshta.exe للتنفيذ غير المباشر في المرحلة الأولى، مما يجعل الاكتشاف أكثر صعوبة.”

كيف يعمل الهجوم؟

1. الطُعم الضار: يستهدف المهاجمون المستخدمين عبر مستندات مزيفة متعلقة بالضرائب.

2. تنشيط البرمجية الخبيثة:

   • عند فتح ملف ZIP، يتم تشغيل ملف اختصار LNK الذي يستدعي الأداة الشرعية mshta.exe.

   • تقوم الأداة بتنفيذ ملف HTA مشفر باسم “xlab22.hta” من خادم بعيد.

   • يحمل هذا الملف كود Visual Basic Script لتنزيل:

     • نص PowerShell خبيث.

     • مستند PDF وهمي (خداع للمستخدم).

     • ملف HTA آخر (311.hta) يُعدّل سجل النظام لضمان التشغيل التلقائي عند بدء التشغيل.

3. التنفيذ في الذاكرة:

   • ينفذ نص PowerShell محمّلاً للشيفرة البرمجية (shellcode loader) في الذاكرة فقط (بدون تخزين ملفات على القرص).

   • يتم تحميل Remcos RAT بالكامل في الذاكرة، مما يجعله صعب الاكتشاف.

لماذا يُعتبر Remcos RAT خطيرًا؟

• يعطي المهاجمين تحكمًا كاملاً في الأنظمة المخترقة.

• يجمع بيانات النظام، ضغطات لوحة المفاتيح، لقطات الشاشة، وقائمة البرامج المثبتة.

• يتصل بخادم تحكم C2 عبر TLS (مثل: readysteaurants[.]com) لسرقة البيانات.

الهجمات عديمة الملفات (Fileless): التحدي الأكبر للأمن السيبراني

• تعمل هذه التقنية دون تخزين ملفات على القرص، مما يتجاوز معظم أنظمة الحماية التقليدية.

• سبق رصد هجمات مماثلة في نوفمبر 2024 باستخدام طُعم متعلقة بالطلبات.

تحذيرات الخبراء:

قال جيه ستيفن كوفسكي، الخبير التقني في SlashNext:

“هجمات PowerShell مثل هذا النوع من Remcos RAT تُظهر تطور المهاجمين لتجنب الاكتشاف.
الحل؟ فحص مرفقات LNK في البريد الإلكتروني، ومراقبة أوامر PowerShell المشبوهة في الوقت الفعلي.“

تطورات متزامنة: انتشار حملات التصيد وبرمجيات السرقة

كشفت Palo Alto Networks (Unit 42) وThreatray عن محمِّل جديد .NET يستخدم لنشر برمجيات خبيثة مثل:

• Agent Tesla, NovaStealer, VIPKeylogger, XWorm.

• يعتمد على 3 مراحل مشفرة، أحدها يستخدم صورة نقطية (bitmap) لإخفاء الشيفرة الضارة (تقنية Steganography).

أبرز الحملات الحديثة:

1. توزيع KeePass مزيف (KeeLoader) عبر إعلانات Bing على نطاقات مشابهة (typosquatting) لسرقة قواعد بيانات كلمات المرور.

2. مستندات Office مزورة تنشر Formbook عبر خدمة حماية برمجيات خبيثة تسمى Horus Protector.

3. هجمات على أوكرانيا وبولندا باستخدام أرشيفات RAR تحتوي على NetSupport RAT.

4. تصيد بيانات البريد الإلكتروني (Outlook, Gmail) عبر Telegram bot باسم “Blessed logs”.

تأثير الذكاء الاصطناعي على التهديدات الإلكترونية:

حذرت Cofense من استخدام المهاجمين للذكاء الاصطناعي في:

• تطوير برمجيات خبيثة متغيرة الشكل (Polymorphic).

• تخصيص رسائل التصيد بدقة عالية لتجاوز الفلاتر التقليدية.

كيف تحمي نفسك؟

✅ تجنب فتح مرفقات البريد من مصادر غير موثوقة.
✅ افحص ملفات ZIP وLNK قبل التشغيل.
✅ عطّل تنفيذ أوامر PowerShell غير الضرورية.
✅ استخدم حلول أمنية متقدمة لاكتشاف الهجمات عديمة الملفات.