في عالم التهديدات الإلكترونية، يعد التصيد الاحتيالي أحد أقدم الحيل في الكتاب. ومع ذلك، حتى بعد سنوات من تعليم المستخدم والدفاعات التكنولوجية، تظل طريقة فعالة للغاية للمهاجمين للتسلل إلى الشبكات.
في الآونة الأخيرة، ظهرت حملة جديدة تتضمن أحدث إصدار من Remcos RAT (أداة الإدارة عن بُعد)، باستخدام رسائل البريد الإلكتروني المخادعة وعيب أمني قديم لتجاوز الدفاعات والسيطرة على أجهزة الضحايا.
دعونا نوضح كيفية عمل هذه الحملة، وسبب فعاليتها، وكيف يمكن للمؤسسات حماية نفسها.
[ICL01] [ICL02] البريد الإلكتروني المخادع
الاختراق: نقاط ضعف قديمة وضحايا جدد
يستخدم المهاجمون الذين يقفون وراء هذه الحملة ثغرة أمنية معروفة، CVE-2017-0199، والتي تتيح تنفيذ التعليمات البرمجية عن بُعد. من خلال تضمين البرامج النصية الضارة في ملفات Excel التي تبدو غير ضارة، وجد المهاجمون طريقة لاستغلال هذه الثغرة القديمة لتجاوز الإجراءات الأمنية التقليدية.
عندما يقوم مستخدم غير مرتاب بفتح ملف Excel المصاب، يتم تشغيل الثغرة الأمنية، مما يؤدي إلى إطلاق سلسلة من التنزيلات الضارة. في المرحلة النهائية، يتم تثبيت Remcos RAT على جهاز الضحية، مما يسمح للمهاجمين بالوصول إليه والتحكم فيه عن بُعد.
الأدوات: ملفات مألوفة ذات حمولات خطيرة
هذه الحملة مخادعة بشكل خاص لأنها تستخدم الأدوات اليومية التي يثق بها المستخدمون، مثل ملفات Excel. يتلقى الأشخاص جداول البيانات كجزء من العمل اليومي، مما يجعلهم أقل عرضة للتشكيك في صحتها. من خلال الاستفادة من ثغرة قديمة ونوع ملف شائع، يضمن المهاجمون أن طريقة الاختراق الأولية الخاصة بهم تبدو غير واضحة قدر الإمكان.
تتضمن العملية ملف HTMLApplication (HTA) مخفيًا، والذي يبدأ سلسلة من البرامج النصية الضارة. تقوم هذه البرامج النصية بتحميل Remcos RAT، وهي أداة قوية تسمح للمهاجمين بالتجسس على المعلومات والتحكم فيها وسرقتها من الأجهزة المصابة - كل ذلك أثناء تجنب الاكتشاف.
سير عمل حملة التصيد بأكملها
العملية
بعد فتح ملف Excel، يتم تنزيل ملف HTA مخفي وتنفيذه في الخلفية باستخدام ملف Windows الأصلي mshta.exe. يقوم ملف HTA بتشغيل برنامج نصي للتنزيل والتنفيذ dllhost.exe، الذي يضخ تعليمات برمجية ضارة في عملية Windows شرعية من خلال تقنية تسمى عملية التجويف.
الأهداف: من هو المعرض للخطر؟
يشكل هذا النوع من الهجمات تهديدًا كبيرًا للأفراد والمؤسسات في الصناعات الحساسة للبيانات مثل التمويل والتأمين والحكومة. قد تحتوي رسائل البريد الإلكتروني المخادعة التي تستهدف هذه القطاعات على مستندات تبدو وكأنها فواتير أو مستندات سياسة أو بيانات مالية. إن الاعتماد على أنواع الملفات المألوفة، جنبًا إلى جنب مع ثغرة أمنية معروفة، يعني أن أي منظمة أو فرد يتعامل مع المعلومات الحساسة معرض للخطر.
عوامل التخفيف
تصحيح الثغرات الأمنية القديمة: التحديثات المنتظمة ضرورية لإغلاق الثغرات المعروفة مثل CVE-2017-0199.
تعزيز بروتوكولات مكافحة الاحتيال: استخدم أدوات أمان البريد الإلكتروني التي تحلل سلوك المرفقات قبل تسليم رسائل البريد الإلكتروني للمستخدمين النهائيين.
اكتشاف التهديدات بالذاكرة فقط: نظرًا لأن RAT هذا يتم تنفيذه في الذاكرة، يمكن لحلول أمان نقطة النهاية مع إمكانات مسح الذاكرة اكتشاف التهديدات داخل الذاكرة بشكل أكثر فعالية.
تصلب التطبيق: فرض سياسات تنفيذ صارمة لتطبيقات مثل mshta.exe التي يتم استغلالها بشكل شائع لهجمات البرامج الضارة التي لا تحتوي على ملفات.
تحليلات سلوكية: تنفيذ اكتشاف الأخطاء لتحديد العمليات غير العادية، مثل تفريغ العمليات، التي يمكن أن تشير إلى نشاط ضار حتى في حالة عدم كتابة أي ملفات على القرص.
.png)
.png)