كشف باحثو الأمن السيبراني عن حملة جديدة تستخدم ملفات LNK وMSHTA في هجمات تعتمد على PowerShell لاستخدام أداة Remcos RAT، وهي مالوير تسمح للمهاجمين بالسيطرة الكاملة على الأنظمة المُختَرقة.
حملة جديدة لـ Remcos RAT تستخدم ملفات LNK وMSHTA في هجمات PowerShell
أعلن باحثو الأمن السيبراني عن حملة جديدة تستخدم ملفات LNK وMSHTA في هجمات تعتمد على PowerShell لاستخدام أداة Remcos RAT، وهي مالوير تسمح للمهاجمين بالسيطرة الكاملة على الأنظمة المُختَرقة.
وقال الباحث في Qualys، أكشاي ثورفي، في تقرير تقني: “قام المهاجمون بتوزيع ملفات LNK مدمجة داخل أرشيفات ZIP، غالبًا ما تم تصميمها كمستندات مكتبية.” وأضاف أن سلسلة الهجوم تعتمد على mshta.exe لتنفيذ العمليات في المرحلة الأولى.
كيف تعمل الحملة؟
تستهدف الحملة المستخدمين عبر روابط تتعلق بالضرائب، وتقدم لهم أرشيف ZIP يحتوي على ملف LNK. هذا الملف يستخدم أدوات مثل mshta.exe، وهي أداة موثوقة من مايكروسوفت، لتشغيل ملف HTA مخفي يحمل كود VBS لتحميل ملف PowerShell، وملف PDF مزيف، وملف HTA آخر يشبه “xlab22.hta” ويُعرف باسم “311.hta”.
بعد تنفيذ ملف PowerShell، يتم فك تشفير وتركيب “Loader” للShellcode، والذي بدوره يبدأ تشغيل أداة Remcos RAT تمامًا في الذاكرة دون ترك آثار على القرص.
ما هو Remcos RAT؟
Remcos RAT هي أداة مالوير شهيرة تتيح للمهاجمين التحكم الكامل في الأنظمة المُختَرقة، مما يجعلها أداة مثالية للتجسس السيبراني وسرقة البيانات. تتميز بأحدث ميزات مثل جمع معلومات النظام، تسجيل لوحة المفاتيح، التقاط لقطات الشاشة، مراقبة بيانات النسخ واللصق، واسترجاع قائمة البرامج المثبتة ومُعالجة العمليات.
بالإضافة إلى ذلك، تُنشئ اتصال TLS مع خادم C2 يُدعى “readysteaurants[.]com”، مما يسمح لها بمشاركة البيانات والتحكم في النظام بشكل مستمر.
الهجمات المماثلة السابقة
هذه ليست المرة الأولى التي تظهر فيها إصدارات غير مُسجلة من Remcos RAT في العالم الحقيقي. في نوفمبر 2024، ذكرت شركة Fortinet أنها واجهت حملة بريد إلكتروني مزيف تستخدم نفس الطريقة لتفعيل المايلوار.
ومن المعروف أن طريقة الهجوم هذه جذابة للمهاجمين لأنها تسمح لهم بالعمل دون اكتشاف من قبل أنظمة الأمان التقليدية، حيث تعمل الكود الضار مباشرة في ذاكرة الكمبيوتر، مما يترك بصمات قليلة على القرص.
تحليل جديد من Palo Alto Networks وThreatray
أشارت شركة Palo Alto Networks وThreatray إلى وجود محمل .NET جديد يُستخدم لتفعيل مجموعة واسعة من المعلومات السارقة والمُجرِّمات مثل Agent Tesla، NovaStealer، Remcos RAT، VIPKeylogger، XLoader، وXWorm.
يحتوي المحمل على ثلاث مراحل تعمل معًا لتفعيل الملف النهائي: – ملف .NET Executable يحتوي على المراحل الثانية والثالثة مشفرة. – ملف DLL يفك تشفير وتحميل المرحلة التالية. – ملف DLL يدير تفعيل الملف الرئيسي.
أشارت Threatray إلى أن الإصدارات الحديثة تستخدم “مورد الصورة” بدلاً من سلسلة مُحددة مسبقًا، مما يساعد على تجاوز أنظمة الأمان التقليدية.
حملات أخرى مرتبطة
تشمل الحملات الأخرى: – استخدام نسخ مُخترقة من برنامج KeePass (KeeLoader) لتسريب بيانات قاعدة بيانات KeePass. – استخدام روابط ClickFix و URLs داخل ملفات PDF لتفعيل Lumma Stealer. – استخدام مستندات Word مُخترقة لتفعيل Formbook. – استخدام URIs المحلية لعرض صفحات احتيال عبر البريد الإلكتروني. – استخدام أرشيفات RAR مُخترقة لتفعيل NetSupport RAT. – استخدام رسائل بريد إلكتروني احتيالية لتفعيل HTML مع كود ضار لسرقة بيانات Outlook وHotmail وGmail.
التطورات الجديدة باستخدام الذكاء الاصطناعي
شهدت هذه الحملات أيضًا ظهور حملات مدعومة بالذكاء الاصطناعي تستخدم تقنيات متغيرة في الوقت الفعلي لتجنب الكشف. تتضمن هذه التقنيات تعديل عناوين البريد الإلكتروني، وأسماء المرسلين، ومحتوى الرسائل لتخطي أنظمة التعرف على التوقيع.
وقال Cofense: “أعطى الذكاء الاصطناعي للمهاجمين القدرة على تطوير البرمجيات الضارة تلقائيًا، وتوسيع الهجمات عبر الصناعات، وكتابة رسائل احتيال مخصصة بدقة.”
