داخل تكنولوجيا المعلومات الوهمية: كيف استولى القراصنة على Microsoft Teams وQuickAssist لتنفيذ هجمات برمجيات خبيثة بدون ملفات

جيل جديد من الهجمات السيبرانية يمزج بين الهندسة الاجتماعية وبرمجيات .NET الخبيثة المتخفية، مستغلاً أدوات العمل اليومية لتجاوز الدفاعات الأمنية.

بدأ الأمر كأي صباح اثنين عادي: مكالمة Teams من "قسم تكنولوجيا المعلومات" ظهرت، وبدت هوية العرض شرعية. لكن خلف ذلك الرمز الودي كان يختبئ مجرم إلكتروني، يدير مزيجاً سلساً من التلاعب النفسي والمهارة التقنية. خلال دقائق، حصل المهاجم على وصول عن بُعد - دون أن يطلق أي إنذار. وبحلول الوقت الذي أدرك فيه الضحية أن هناك خطباً ما، كانت برمجية خبيثة متطورة بدون ملفات تعمل بالفعل بشكل غير مرئي في ذاكرة النظام، تاركة وراءها أثراً شبه معدوم.

حقائق سريعة

المهاجمون ينتحلون صفة موظفي تكنولوجيا المعلومات عبر Microsoft Teams، ويجذبون الضحايا من خلال هندسة اجتماعية مقنعة.
يتم خداع الضحايا لتشغيل QuickAssist، مما يمنح المهاجمين وصولاً عن بُعد تحت ستار الدعم الفني.
يتم تسليم البرمجية الخبيثة كملف .NET Core 8.0 تنفيذي متخفي ("updater.exe")، يعمل بالكامل في ذاكرة النظام.
الهجوم يستخدم تقنيات تنفيذ بدون ملفات - دون كتابة أي ملفات على القرص، مما يجعل اكتشافه بالغ الصعوبة.
تسترجع البرمجية الخبيثة مفاتيح التشفير والحزم الضارة من خوادم خارجية، باستخدام تقنيات تمويه متقدمة وحقن في الذاكرة.

تشريح الهجوم

تُعد هذه الحملة مثالاً نموذجياً على تطور مجرمي الإنترنت. يبدأ الهجوم عندما ينتحل الفاعل التهديدي صفة موظف تكنولوجيا معلومات كبير ويبدأ مكالمة عبر Microsoft Teams. باستخدام أسماء عرض مزيفة، يقنعون الهدف بتشغيل QuickAssist - وهي أداة دعم عن بُعد شرعية في ويندوز. بمجرد استجابة الضحية، يحصل المهاجم على وصول مباشر إلى الجهاز، وكل ذلك تحت ذريعة الدعم الفني الروتيني.

خلال عشر دقائق فقط، يُوجَّه المستخدم إلى صفحة تحقق مزيفة (ciscocyber[.]com/verify.php) ويُطلب منه تنزيل "updater.exe". رغم اسمه البريء، فإن هذا الملف هو تطبيق .NET Core 8.0 مسلح، صُمم بذكاء لتجنب اكتشاف البرمجيات الخبيثة التقليدية. وبدلاً من إسقاط ملفات على القرص، يعمل عن طريق تحميل الحزمة الضارة مباشرة في الذاكرة باستخدام تقنيات انعكاس .NET متقدمة.

ولا يتوقف التعقيد التقني عند هذا الحد. يتواصل مكون التحميل في البرمجية الخبيثة (loader.dll) مع بنية تحتية خارجية للتحكم والسيطرة (jysync[.]info) لجلب مفاتيح التشفير واسترجاع الحزمة الضارة الفعلية، والتي تتم حمايتها بطبقتين: تشفير AES-CBC وتمويه XOR. هذا التشفير المزدوج لا يخفي البرمجية الخبيثة عن التحليل الثابت فحسب، بل يعقد أيضاً التحقيقات الجنائية.

وبمجرد فك التشفير، تعمل البرمجية الخبيثة في الذاكرة فقط، متجاوزة تماماً حلول الحماية الطرفية التي تعتمد على التواقيع أو نشاط القرص. يستغل الهجوم بنية Microsoft الشرعية وتقنيات تطوير .NET، بل ويحتوي حتى على سلاسل تصحيح تشير إلى مسارات بناء مايكروسوفت نفسها، مما يزيد من تعقيد التحليل الجنائي.

التداعيات الأوسع

تشير هذه الحملة إلى تحول خطير: إذ أصبح المهاجمون الآن يمزجون بين التلاعب النفسي والابتكار التقني، مسلحين أدوات العمل الموثوقة لاختراق دفاعات المؤسسات. استخدام Teams وQuickAssist يقلل الشكوك ويتجاوز ضوابط الشبكة، بينما تترك البرمجية الخبيثة بدون ملفات أثراً شبه غير مرئي.

يحذر خبراء الأمن المؤسسات من ضرورة تعطيل أدوات الدعم عن بُعد غير الضرورية، وفرض تحقق صارم من اتصالات تكنولوجيا المعلومات، ونشر حلول متقدمة لرصد النقاط الطرفية قادرة على مراقبة الذاكرة ونشاط وقت تشغيل .NET. ومع تزايد تعقيد هجمات التصيد الصوتي، تصبح اليقظة وتوعية المستخدمين أكثر أهمية من أي وقت مضى.