Netcrook Logo
👤 LOGICFALCON
🗓️ 04 Mar 2026  

من مكالمات دعم تقني مزيفة إلى سيطرة كاملة: كيف يستولي Havoc C2 المُخصّص على المؤسسات

العنوان الفرعي: موجة جديدة من الهجمات السيبرانية تحوّل الدعم التقني المزيّف إلى منصة انطلاق لاختراقات شبكية متقدمة.

تبدأ بسيلٍ من رسائل البريد العشوائي - ثم مكالمة “دعم تقني” تبدو مفيدة. خلال ساعات، تعجّ شبكة المؤسسة بشيفرة خبيثة، ويصبح المهاجمون على بُعد خطوة واحدة من سرقة البيانات أو إطلاق برامج الفدية. هذا ليس مشهدًا من فيلم تشويق سيبراني؛ بل هو أحدث استراتيجية يستخدمها مجرمو الإنترنت لاجتياح الشركات عبر القطاعات، مستعينين بنسخة مُجدّدة من إطار القيادة والتحكم (C2) سيّئ السمعة Havoc.

وفقًا لصيّادي التهديدات في Huntress، وقعت خمس مؤسسات على الأقل مؤخرًا ضحية لهذا الهجوم متعدد الطبقات. تبدأ العملية بحملة بريد عشوائي كلاسيكية تهدف إلى إغراق صناديق الوارد وتهيئة المسرح لمكالمة هاتفية لاحقة. وبانتحالهم صفة موظفي مكتب دعم تقنية المعلومات، يقنع المهاجمون موظفين غير مرتابين ببدء جلسات دعم عن بُعد أو تثبيت أدوات مثل AnyDesk، بزعم “إصلاح” مشكلة الرسائل المزعجة. هذا ليس مجرد هندسة اجتماعية - إنها هندسة اجتماعية بحمولة تقنية، وقد أثبتت فاعليتها بشكل مقلق.

وبمجرد الحصول على الوصول عن بُعد، يوجّه المهاجمون الضحايا إلى صفحة هبوط مزيفة لـ Microsoft مستضافة على Amazon Web Services، تعد بتحديث قواعد مكافحة الرسائل المزعجة. يطلب الموقع بيانات اعتماد البريد الإلكتروني، التي تُحصَد لاستغلالها لاحقًا. لكن الحمولة الحقيقية تأتي بعد ذلك: “تصحيح” قابل للتنزيل يطلق في الواقع ملفًا تنفيذيًا شرعيًا من Windows، ويُحمّل DLL خبيثًا جانبيًا. هذا الـ DLL - الذي يُسمّى أحيانًا باسم بريء مثل “vcruntime140_1.dll” - يستخدم حيل مراوغة متقدمة لتجنب الاكتشاف، بما في ذلك تمويه تدفق الشيفرة واستغلال مكوّنات داخلية في Windows لتجاوز أمن نقاط النهاية.

ومع ترسّخ عميل Havoc Demon الآن، يتحرك المهاجمون بسرعة. ففي إحدى الحالات، اخترقوا تسع نقاط نهاية في أقل من اثنتي عشرة ساعة، ناشرين برمجيات خبيثة مخصصة وأدوات مراقبة وإدارة عن بُعد شرعية مثل Level RMM وXEOX. هذه الأدوات، التي تُستخدم عادةً لصيانة تقنية المعلومات، تمنح المجرمين وصولًا دائمًا حتى لو أُزيلت البرمجيات الخبيثة. وتضمن المهام المجدولة إعادة تشغيل حمولة Havoc مع كل إعادة إقلاع، ما يجعل التنظيف تحديًا شاقًا للمدافعين.

وتحمل التكتيكات شبهًا لافتًا بتلك التي استخدمتها مجموعة برامج الفدية سيئة السمعة Black Basta، إذ يبدو أن دليلها المسرّب يلهم مقلّدين أو شركاء سابقين. وما يثير القلق بشكل خاص هو أن تقنيات كانت حكرًا على الأهداف عالية القيمة - مثل التحميل الجانبي المتطور لـ DLL والهندسة الاجتماعية في الوقت الحقيقي - باتت تُستخدم الآن في هجمات واسعة النطاق ومنخفضة التكلفة. كما أن استعداد المهاجمين للاتصال بأرقام شخصية وانتحال صفة موظفي تقنية المعلومات يُظهر التزامًا جريئًا باختراق الدفاعات بأي ثمن.

وبينما تسارع المؤسسات للدفاع ضد هذه التهديدات متعددة الطبقات، تتضح حقيقة واحدة: الخط الفاصل بين الهندسة الاجتماعية والاستغلال التقني يتلاشى. فكل مكالمة بريئة من قسم تقنية المعلومات قد تكون تمهيدًا لاختراق شبكي شامل. إن البقاء متيقظين، وتثقيف الموظفين، وتعزيز الدفاعات ضد مسارات الهجوم البشرية والتقنية بات أكثر أهمية من أي وقت مضى.

WIKICROOK

  • أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • التحميل الجانبي لـ DLL: التحميل الجانبي لـ DLL هو عندما يخدع المهاجمون برامج موثوقة لتحميل ملفات مساعدة خبيثة (DLL) بدلًا من الملفات الشرعية، ما يتيح هجمات خفية.
  • الحركة الجانبية: الحركة الجانبية هي عندما ينتقل المهاجمون، بعد اختراق شبكة، بشكل جانبي للوصول إلى مزيد من الأنظمة أو البيانات الحساسة، موسّعين سيطرتهم ونطاقهم.
  • أدوات المراقبة والإدارة عن بُعد (RMM): تتيح أدوات المراقبة والإدارة عن بُعد (RMM) لمتخصصي تقنية المعلومات التحكم عن بُعد وتحديث أجهزة الكمبيوتر والشبكات واستكشاف الأعطال وإصلاحها لتقديم دعم فعّال.
  • الهندسة الاجتماعية: الهندسة الاجتماعية هي استخدام الخداع من قبل المخترقين لخداع الأشخاص للكشف عن معلومات سرية أو توفير وصول غير مصرح به إلى الأنظمة.
Cyberattacks Social Engineering Havoc C2
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news