حملة تصيّد تدّعي دعم تقني مزيف لنشر إطار Havoc C2 عبر المؤسسات

حملة تصيّد تدّعي دعم تقني مزيف لنشر إطار Havoc C2 عبر المؤسسات
حملة تصيّد تدّعي دعم تقني مزيف لنشر إطار Havoc C2 عبر المؤسسات
شارك هذا الخبر

كشف باحثو الأمن السيبراني عن حملة جديدة يتظاهر فيها المهاجمون بأنهم موظفو دعم تقني مزيفين، بهدف نشر إطار Havoc C2 كمرحلة أولية قبل سرقة البيانات أو تنفيذ هجمات فدية. الحملة التي رصدتها شركة Huntress الشهر الماضي استهدفت خمس مؤسسات شريكة، حيث بدأ الهجوم برسائل بريد عشوائية (Spam) تليها مكالمات هاتفية من “مكتب دعم تقني” لتفعيل سلسلة معقدة من تسليم البرمجيات الخبيثة.

سرعة الانتشار وتقنيات التمويه

في إحدى المؤسسات، تمكن المهاجمون من الانتقال من نقطة وصول أولية إلى تسعة أجهزة إضافية خلال 11 ساعة فقط، مستخدمين مزيجاً من حمولة Havoc Demon المخصصة وأدوات إدارة عن بُعد شرعية (RMM) للحفاظ على الاستمرارية. هذا النمط يعكس أساليب سابقة مرتبطة بعمليات التصيّد عبر البريد وMicrosoft Teams التي استخدمتها مجموعة Black Basta المرتبطة ببرمجيات الفدية، رغم أن المجموعة بدت صامتة بعد تسريب محادثاتها الداخلية العام الماضي.

سلسلة الهجوم التقنية
  • المرحلة الأولى: إغراق البريد الوارد للضحايا برسائل عشوائية.
  • المرحلة الثانية: مكالمات هاتفية من “الدعم التقني” لإقناع الضحية بمنح وصول عن بُعد عبر Quick Assist أو تثبيت أدوات مثل AnyDesk.
  • المرحلة الثالثة: توجيه الضحية إلى صفحة مزيفة على AWS تنتحل هوية مايكروسوفت وتطلب إدخال البريد وكلمة المرور لتحديث قواعد مكافحة البريد المزعج.
  • المرحلة الرابعة: تنزيل “التحديث” المزعوم الذي يستغل ملفات تنفيذية شرعية مثل ADNotificationManager.exe أو Werfault.exe لتحميل مكتبة DLL خبيثة.
  • المرحلة الخامسة: تنفيذ حمولة Havoc Demon مع تقنيات متقدمة لتجنب الكشف مثل Hell’s Gate وHalo’s Gate، إضافة إلى إخفاء التدفق والتحكم في زمن التنفيذ.
الاستمرارية والانتشار الأفقي

بعد تثبيت الحمولة، بدأ المهاجمون بالتحرك أفقياً عبر بيئة الضحية، مع إنشاء مهام مجدولة لتشغيل Havoc Demon عند كل إعادة تشغيل. كما لجأوا أحياناً إلى نشر أدوات RMM شرعية مثل Level RMM وXEOX بدلاً من Havoc، مما يعزز تنوع آليات الاستمرارية ويصعّب عملية الاستجابة.

دلالات أمنية

الحملة تكشف عن عدة حقائق مهمة:

  • المهاجمون لا يترددون في الاتصال بأرقام شخصية لإقناع الضحايا.
  • تقنيات التمويه التي كانت حكراً على الهجمات الكبرى أصبحت شائعة في الحملات التجارية.
  • البرمجيات الخبيثة التقليدية يتم تعديلها لتجاوز أنماط التوقيع الأمني.
  • سرعة الانتقال من الاختراق الأولي إلى الانتشار الأفقي باتت مذهلة، مع اعتماد أساليب متعددة للحفاظ على الوصول المستمر.
وسوم
محمد وهبى
محمد وهبى
المقالات: 948

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة