حملة تصيد (phishing) كتستعمل أدوات RMM بحال SimpleHelp و ScreenConnect باش تخترق كثر من 80 مؤسسة

خلاصة: واحد حملة تصيد (phishing) لي تسمات VENOMOUS#HELPER، اخترقات كثر من 80 مؤسسة، الأغلبية ديالها فميريكان، من أبريل 2025. المهاجمين استعملو أدوات تحكم عن بعد (remote access) بحال SimpleHelp و ScreenConnect مقادين على حسابهم. كينتاحلو صفة ديال إدارة الضمان الاجتماعي الميريكانية (SSA) فليمايلات، وكيصيفطو الضحايا لمواقع مخترقة، وكيديرو اتصال مزدوج (dual-channel) بصلاحيات عالية كيبقى ديما خدام. هاد الحملة كتوافق مع الأساليب لي كيخدمو بيها سماسرة الوصول الأولي (initial access brokers) لي عندهم دوافع مالية، ولا العمليات لي كتمهد لـ ransomware.

شنو واقع

الحملة كاتبدا بإيميلات ديال تصيد (phishing) لي كينتاحلو صفة إدارة الضمان الاجتماعي الميريكانية (SSA). كيطلبو من الضحايا يأكدو لادريس إيميل ديالهم ويديرو تحميل لواحد التصريح وهمي ديال SSA من خلال واحد الرابط فالميساج. هاد الرابط كيوجه لواحد الموقع مكسيكي حقيقي ولكن مخترق (gruta.com[.]mx)، وهادشي تدار بالعاني باش يتفاداو الفلتر ديال السپام (spam). من بعد، البرمجية الخبيثة الحقيقية كيتم التحميل ديالها من دومين ثاني كيتحكم فيه مهاجم (server.cubatiendaalimentos.com[.]mx).

ملي الضحية كيحل داكشي لي كيبان بحال شي دوكيمون — ولي هو فالأصل ملف تنفيذي ديال Windows مجموع بـ JWrapper — كيبدا برنامج التثبيت. SimpleHelp كيتنصّب كخدمة (Windows service) مع البقاء حتى فـ Safe Mode، وكيفعّل ميكانيزم ديال "self-healing watchdog" لي كيعاود يخدم الخدمة أوطوماتيكيا يلا تحبسات. النسخة 5.0.1 ديال SimpleHelp هي لي تنصبات فهاد الحملة.

البرمجية الخبيثة كاتبدا دير الاستطلاع مابعد الاختراق فالبلاصة: كتقلب على برامج الحماية لي مسجلة باستعمال root\SecurityCenter2 WMI namespace كل 67 ثانية، وكتراقب الحضور ديال المستعمل كل 23 ثانية. باش ياخد مهاجم تحكم تفاعلي كامل، الكليان ديال SimpleHelp كياخد SeDebugPrivilege عن طريق AdjustTokenPrivileges، وكيستعمل الملف التنفيذي الشرعي elev_win.exe — لي تابع لـ SimpleHelp براسو — باش يطلع الصلاحيات لـ SYSTEM. هادشي كيعطي لـ مهاجم إمكانية يقرا الشاشة، ويدير انجيكسيون (inject) للدقات ديال الكلاڤي، ويوصل للموارد الخاصة بالمستعمل.

باش يأسس المهاجم داكشي لي وصفوه الباحثين بـ "redundant dual-channel access architecture" (هندسة وصول مزدوجة واحتياطية)، كيقوم بتحميل وتثبيت ConnectWise ScreenConnect كطريقة تواصل بديلة. يلا تكتشفات واحد القناة وتحبسات، المهاجم كيبقى عندو الوصول من خلال القناة الثانية.

الباحثين الأمنيين لي ورا هاد الاكتشاف — Akshay Gaikwad و Shikha Sangwan و Aaron Beardslee من شركة Securonix — لاحظو بلي "المؤسسة الضحية كتبقى فواحد الحالة لي المهاجم يقدر يرجع ليها فأي وقت، ينفذ الأوامر بسكات فـ desktop session ديال المستعمل، ينقل الملفات فالاتجاهين، وينتاقل لـ أنظمة أخرى، فاش برامج الأنتي ڤيروس العادية وأنظمة الحماية المعتمدة على التوقيع (signatures) ما كيشوفو غير سوفتوير شرعي وموقّع من شركة موثوقة فبريطانيا."

علاش هادشي مهم

هاد الحملة مهمة بزاف للمدافعين فمنطقة الشرق الأوسط وشمال إفريقيا للعديد من الأسباب. أولا، كتبين كيفاش يمكن تسليح أدوات وصول عن بعد (RMM) شرعية وموقّعة باش يتجاوزو دفاعات الشبكة ونقاط النهاية. الاستعمال ديال صلاحيات SYSTEM كيعني بلي طرق الاكتشاف التقليدية لي كتراقب المستعمل (user-context) ماتنفعش. ثانيا، الهندسة المزدوجة كيخلق واحد المرونة تشغيلية — بلوكاج ديال SimpleHelp ماكيطردش المهاجم يلا كان ScreenConnect ديجا منصب. ثالثا، عملية الاستطلاع الدورية (التقليب على برامج الحماية وحضور المستعمل) كتدل بلي المهاجم كيتأقلم فالوقت الفعلي مع البيئة قبل ما يدير أي تحرك.

بالنسبة لمحللي SOC، هادشي كيعني بلي النشاط ديال أدوات RMM الشرعية مايمكنش نعتبروه آمن ديما؛ السياق ديالو كيلعب دور. بالنسبة لـ sysadmins، هادشي كيأكد على الخطر ديال الملفات التنفيذية لي كيخدموها المستعملين، والأهمية ديال سياسات التحكم فالتطبيقات. الدوافع المالية ديال هاد الحملة والتشابه ديالها مع تكتيكات سماسرة الوصول (IAB) والعمليات التمهيدية لـ ransomware، كيعني بلي المؤسسات لي تخترقات كتعتبر أهداف ذات قيمة عالية لعمليات ابتزاز ولا سرقة بيانات فالمستقبل.

الأنظمة المتأثرة و CVEs

• SimpleHelp (نسخة 5.0.1 هي لي تأكد الاستعمال ديالها فالحملة)
• ScreenConnect (ConnectWise ScreenConnect)
• JWrapper (إطار عمل التغليف لي تستعمل للملف التنفيذي الأولي)

ماكاينش شي CVE تخصص ليها وقت النشر.

شنو خاصك دير

• راقب وبلوكي الإيميلات ديال تصيد (phishing) لي كينتاحلو صفة وكالات حكومية، خصوصا إدارة الضمان الاجتماعي الميريكانية.
• طبّق ولا راجع القواعد ديال فلتر السپام باش تكتشف الترافيك لي جاي من مواقع خارجية مخترقة؛ خصك تبلوكي gruta.com[.]mx و server.cubatiendaalimentos.com[.]mx فحدود الشبكة ديالك.
• راقب أي تثبيت غير مصرح بيه لـ SimpleHelp و ScreenConnect. هاد الزوج ديال الأدوات خاصهم مبرر عمل شرعي وخاصهم يكونو موثقين (inventoried).
• خدّم مراقبة على استعلامات WMI باش يعطيك ألييرت يلا كان شي تقليب فـ namespace ديال root\SecurityCenter2، خصوصا يلا جا من process غريب ولا مامسنيش (unsigned).
• دير ألييرت على أي استدعاء لـ AdjustTokenPrivileges وتنفيذ elev_win.exe خارج أوقات الصيانة المعتادة.
• طبّق application whitelisting أو سياسات تنفيذ باش تمنع الملفات التنفيذية لي مامحققينش منها أو لي مامسنيينش من الخدمة.
• راجع حسابات المستعملين فـ cPanel وسجلات الوصول (access logs) ديال سيرفورات الاستضافة على أي نشاط مامصرحش بيه؛ حساب cPanel واحد مخترق هو لي تستعمل باش يوجدو حمولة (payload) الأولية.
• يلا كانت المؤسسة ديالك كتستعمل SimpleHelp ولا ScreenConnect بشكل شرعي، خاصك دير تحكم صارم فالنسخ ديالهم وتراقب أي رفع مفاجئ للصلاحيات ولا استعلامات WMI لي جاية من سياق الخدمة.

أسئلة باقا مطروحة

• الهوية ديال فاعل التهديد (threat actor) ولا المجموعة لي مورا VENOMOUS#HELPER باقا مامأكداش؛ عملية التعرف (attribution) معتمدة غير على الأنماط ديال العملية.
• النطاق الكامل ديال المؤسسات لي تقاست والقطاعات المستهدفة من غير دوك 80+ لي أكداتهم Securonix مزال مامكشوفش.
• مامعروفش واش اختراق حساب cPanel لي مستضيف gruta.com[.]mx كان مقصود و مستهدف أو غير انتهازي.
• اللائحة الكاملة ديال الدومينات والبنية التحتية لي كيسيطر عليها المهاجم وتستعملات فالحملة ماتنشراتش للعموم.
• الوضع الحالي ديال ترقيع السيرفورات لي تخترقات باش يديرو بها الاستضافة مامحددش.

Source

Phishing Campaign Hits 80+ Orgs Using SimpleHelp and ScreenConnect RMM Tools