عندما تتحول المراقبة إلى تخريب: داخل دليل برمجيات الفدية الذي يختطف أدوات مراقبة الموظفين

في العالم المعتم للجريمة السيبرانية، لم يعد الخط الفاصل بين إدارة تقنية المعلومات المشروعة والتسلل الخبيث أرفع مما هو عليه اليوم. تكشف تحقيقات حديثة أن جهات التهديد تسلّح برمجيات مراقبة الموظفين اليومية وأدوات الدعم عن بُعد، متجاوزةً الدفاعات عبر التنكر كمسؤولين عاديين - حتى يفوت الأوان.

حقائق سريعة

• أساء المهاجمون استخدام Net Monitor for Employees وSimpleHelp - وهما أداتان شرعيتان للإدارة عن بُعد - لإطلاق برمجيات فدية وسرقة عملات مشفرة.
• شهدت حوادث مطلع 2026 قيام المهاجمين بربط هذه الأدوات معًا للحصول على وصول دائم وخفي وتحكم عملي عبر شبكات الضحايا.
• تنكّر الفاعلون كخدمات خبيثة على أنها عمليات موثوقة مثل “OneDrive” و“svchost.exe” لتفادي الاكتشاف.
• تشير البنية التحتية المشتركة وأسماء الملفات المتطابقة بقوة إلى مشغّل واحد أو مجموعة واحدة تقف وراء كلا الاختراقين البارزين.
• شملت الأهداف نشر برمجية الفدية Crazy (متغير من VoidCrypt) والمراقبة الحية لاقتناص فرص سرقة العملات المشفرة.

كيف أصبحت أدوات تقنية المعلومات سكين الجيش السويسري للجريمة السيبرانية

ماذا يحدث عندما تُستخدم الأدوات المصممة للحفاظ على إنتاجية الموظفين وأمان الشبكات ضد مالكيها؟ في اتجاه مقلق، يستولي مجرمو الإنترنت على منصات المراقبة والإدارة عن بُعد التجارية (RMM) - مثل Net Monitor for Employees Professional وSimpleHelp - ليذوبوا بسلاسة في خلفية عمليات تقنية المعلومات داخل الشركات.

يُعرف Net Monitor بوظائفه الشرعية مثل عرض الشاشة والتحكم بالملفات، لكنه يتيح أيضًا وصولًا كاملاً عن بُعد، وتنفيذ أوامر الصدفة، وحتى النشر الخفي. وفي الأيدي الخطأ، تحاكي هذه الميزات حصان طروادة للوصول عن بُعد (RAT) - مع ميزة إضافية تتمثل في عدم إثارة الشبهات، لأن البرنامج غالبًا ما يكون معتمدًا مسبقًا من أقسام تقنية المعلومات.

في حالتين حديثتين تتبعهما محللو Huntress، استغل المهاجمون هذه الأدوات معًا. أولًا، تلاعبوا بحسابات المستخدمين ونفذوا أوامر عبر Net Monitor، مستخدمين الملف المرفق “winpty-agent.exe” للتفاعل مع الأنظمة المخترقة. ثم نُشر SimpleHelp لتشغيل أوامر إضافية وإضعاف الدفاعات، بما في ذلك محاولات تعطيل Windows Defender.

وفي خرق آخر، حصل المهاجمون على موطئ قدم عبر VPN خاص بمورّد تم اختراقه، ثم استخدموا PowerShell لتنزيل ملف SimpleHelp ثنائيًا متنكرًا. وقاموا بتثبيت Net Monitor مباشرة من موقع المورّد، وتهيئته لاتصالات عكسية إلى بنية تحتية يسيطر عليها المهاجمون. ولطمس آثارهم، أعادوا تسمية الخدمات والملفات التنفيذية لتبدو كعمليات Windows شرعية، مثل “OneDriveSvc” و“svchost.exe.”

لم يتوقف المهاجمون عند برمجيات الفدية. كشفت القياسات عن محفزات مراقبة لمحافظ العملات المشفرة ومنصات التداول، ما يشير إلى سرقة آنية بالتوازي مع محاولات الابتزاز. ومن خلال الاستفادة من تصميم SimpleHelp متعدد البوابات والنشر الخفي لـ Net Monitor، حافظوا على وصول دائم ومرن - يكاد لا يُميَّز عن نشاط تقنية المعلومات الروتيني.

دروس للمدافعين

تؤكد هذه الهجمات تحديًا حاسمًا: الأدوات التي تهدف إلى تمكين فرق تقنية المعلومات يمكنها بالسهولة نفسها تمكين الخصوم. يجب على المؤسسات فرض المصادقة متعددة العوامل، وتقييد أدوات الإدارة عن بُعد ومراقبتها، ووضع خط أساس لكل نشاط برمجيات RMM. كما أن تقسيم الشبكة والمراقبة اليقظة لتثبيت الخدمات والاتصالات الصادرة أمران أساسيان لمنع يدٍ خفية من تحويل الإشراف في مكان العمل إلى تخريب مؤسسي.

وفي النهاية، يجب أن يقترن الثقة بالتكنولوجيا بتدقيق لا يلين - لأن “المسؤول” التالي الذي يسجّل الدخول قد يكون هو من يحتجز بياناتك رهينة.

WIKICROOK

• المراقبة والإدارة عن بُعد (RMM): المراقبة والإدارة عن بُعد (RMM) هي أدوات تقنية معلومات تتيح للمحترفين التحكم بالحواسيب ومراقبتها وصيانتها عن بُعد - مفيدة للدعم، لكنها محفوفة بالمخاطر إذا أسيء استخدامها.
• حصان طروادة للوصول عن بُعد (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سرًا في حاسوب الضحية من أي مكان، ما يمكّن السرقة والتجسس.
• أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
• VPN (الشبكة الخاصة الافتراضية): تقوم VPN بتشفير اتصالك بالإنترنت وإخفاء عنوان IP الخاص بك، ما يوفر خصوصية وأمانًا إضافيين عند التصفح عبر الإنترنت أو استخدام شبكات Wi‑Fi العامة.
• الاستمرارية: تتضمن الاستمرارية تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء داخل الأنظمة، غالبًا عبر محاكاة العمليات الشرعية أو التحديثات.