کمپین «هدایای ناخواسته»؛ بررسی تخصصی حملات مبتنی بر RMM و نقش سیمانتک در مقابله با آن

 ظهور نسل جدیدی از حملات مهندسی اجتماعی

در ماه‌های اخیر، سیمانتک گزارشی تکان‌دهنده از فعالیت یک گروه تهدید بسیار فعال منتشر کرده است که با استفاده از ابزارهای مدیریت و مانیتورینگ از راه دور یا همان RMM، اقدام به نفوذ گسترده در شبکه‌های سازمانی کرده است. این گروه با بهره‌گیری از تکنیک‌های پیچیده مهندسی اجتماعی، از جمله دعوت‌نامه‌های جعلی مهمانی و ایمیل‌های ظاهراً اداری همچون فاکتورهای معوق یا لینک جلسات کاری، قربانیان را وادار می‌کند تا به صورت ناخواسته بدافزار RMM را روی سیستم خود نصب کنند. سیمانتک با تحلیل زنجیره حمله، ابزارها و تاکتیک‌های این بازیگران مخرب نشان داده است که هدف اصلی این گروه نه تخریب مستقیم بلکه ایجاد دسترسی پایدار برای سوءاستفاده‌های بعدی، از جمله احتمالاً فروش دسترسی به باج‌افزارهاست. این موضوع نشان می‌دهد که سیمانتک همچنان یکی از مهم‌ترین بازیگران دفاع سایبری در مقابله با تهدیدات پیچیده و چندلایه است و توانسته است با تحلیل رفتار این گروه، نقش تعیین‌کننده‌ای در آگاهی‌بخشی به سازمان‌ها داشته باشد.

تاکتیک‌های ابتدایی حمله؛ آغاز ماجرا با ایمیل‌های فریبنده

بخش مهمی از این کمپین با ایمیل‌های فریبنده آغاز می‌شود که با ظاهرهای مناسبتی و سازمانی طراحی شده‌اند. در گزارش سیمانتک اشاره شده است که ایمیل‌هایی با موضوعاتی مانند «دعوت‌نامه مهمانی دسامبر»، «Party Invitation» یا «Holiday Event» در کنار ایمیل‌هایی با ظاهر اداری همچون «فاکتور پرداخت‌نشده»، «نامه مالیاتی»، «یادآور جلسه» یا «مدرک برای امضا» مورد استفاده قرار گرفته است. نکته‌ای که سیمانتک بر آن تأکید دارد این است که این ایمیل‌ها بسیار حرفه‌ای طراحی شده‌اند و در بسیاری موارد حتی لینک‌ها یا فایل‌هایی با امضای دیجیتال معتبر مشاهده شده است. همین نشانه‌ها باعث می‌شود که قربانیان کمتر به ماهیت مخرب فایل‌ها شک کنند و بدافزار RMM را روی سیستم خود اجرا کنند. این مرحله نشان‌دهنده اهمیت آگاهی کارکنان درباره تهدیدات فیشینگ است و سیمانتک با ارائه راهکارهای آموزشی به سازمان‌ها کمک می‌کند تا سطح آمادگی خود را در برابر چنین تهدیداتی افزایش دهند.

زنجیره حمله؛ مسیر ورود تا تثبیت حضور مهاجم

سیمانتک با بررسی دقیق نمونه‌های حمله دریافت که فایل‌های ارسالی شامل لینک‌هایی به فایل‌های Setup یا MSI بودند که پس از اجرا، ابزارهای مدیریت از راه دور مانند ScreenConnect را نصب می‌کردند. مهاجمان پس از نصب این ابزار، قادر بودند کنترل کامل سیستم را در دست بگیرند و علاوه بر مشاهده فعالیت‌ها، ابزارهای جانبی متعدد نیز روی سیستم قربانی نصب کنند. این ابزارها به مهاجم کمک می‌کردند تا امنیت سیستم را غیرفعال کنند، داده‌ها را جمع‌آوری کنند و حضور خود را مخفی نگه دارند. سیمانتک تأکید کرده است که زنجیره حمله به دقت برنامه‌ریزی شده و مهاجم تلاش می‌کند تا حتی‌الامکان ردپای خود را کاهش دهد. این دقت در طراحی مسیر حمله نشان می‌دهد که با گروهی بسیار حرفه‌ای روبه‌رو هستیم.

ابزارهای پس از نفوذ؛ از سرقت رمز عبور تا خاموش کردن امنیت

در تحلیل‌های سیمانتک چند ابزار کلیدی مورد استفاده مهاجمان شناسایی شده است. یکی از آنها HideMouse.exe است که به مهاجم اجازه می‌دهد حرکت ماوس را پنهان کند تا زمانی که در سیستم قربانی فعالیت می‌کند، نشانه‌ای از حضور غیرعادی قابل مشاهده نباشد. ابزار دیگر WebBrowserPassView است که برای جمع‌آوری رمزهای ذخیره‌شده در مرورگرهای مختلف استفاده می‌شود. این ابزارها به مهاجم امکان می‌دهند تا اطلاعات حساس قربانی را بدون ایجاد هشدار استخراج کند. همچنین ابزار Defender Control برای غیرفعال‌سازی Windows Defender به کار می‌رود. این موضوع نشان می‌دهد که مهاجم تلاش کرده است لایه‌های دفاعی سیستم را پیش از آغاز فعالیت گسترده از کار بیندازد. سیمانتک این ابزارها را به‌عنوان مؤلفه‌های مهم در حمله معرفی کرده و هشدار داده است که وجود آنها روی سیستم نشانه بسیار واضحی از نفوذ است.

تغییر تاکتیک‌ها از سوی مهاجمان؛ تنوع‌سازی ابزارهای RMM

یکی از مهم‌ترین نکاتی که سیمانتک به آن پرداخته، تغییر تاکتیک مهاجمان در طول زمان است. در ابتدای این کمپین که از آوریل ۲۰۲۵ آغاز شده بود، مهاجمان تنها ScreenConnect را برای دسترسی از راه دور نصب می‌کردند. اما با گذشت زمان، الگوی حمله تغییر کرد و ابزارهای RMM جدیدی مانند LogMeIn Resolve، Naverisk، SimpleHelp، PDQ و Atera نیز به مجموعه حملاتی اضافه شد. این تغییر تاکتیک نشان‌دهنده تلاش مهاجمان برای افزایش ماندگاری خود روی سیستم قربانی است. سیمانتک تأکید کرده است که این رفتار غیرمعمول است زیرا استفاده از چند ابزار RMM روی یک سیستم تقریباً هرگز توسط مدیران واقعی شبکه انجام نمی‌شود. همین موضوع می‌تواند یکی از شاخص‌های کشف حمله باشد و سیمانتک با ارائه شاخص‌های IOC به تیم‌های امنیتی کمک کرده است که سریع‌تر این نشانه‌ها را شناسایی کنند.

نصب تدریجی ابزارهای RMM؛ الگویی جدید از پایداری در نفوذ

به گفته سیمانتک، مهاجمان معمولاً این ابزارها را هم‌زمان نصب نمی‌کنند؛ بلکه نصب آنها با فاصله زمانی انجام می‌شود. برای مثال در یکی از سازمان‌ها ابتدا در ماه اوت نسخه‌ای از ScreenConnect نصب شده بود، سپس در ماه سپتامبر نسخه دیگری از همین برنامه نصب شده و نهایتاً LogMeIn Resolve نیز با نام جعلی «adobereaderdc.clientsetup.msi» روی سیستم قرار گرفته بود. این رفتار نشان می‌دهد که مهاجمان پس از حضور در سیستم، در فواصل مختلف ابزارهای جدید نصب می‌کنند تا دسترسی خود را در صورت شناسایی شدن یکی از ابزارها از دست ندهند. این موضوع نگرانی بزرگی را برای سازمان‌ها ایجاد کرده و سیمانتک هشدار داده است که این مدل حمله می‌تواند مدت‌ها ناشناس بماند مگر اینکه تیم امنیتی سازمان از ابزارهای پیشرفته تشخیص رفتار مانند سامانه‌های EDR سیمانتک استفاده کند.

افزایش «زمان ماندگاری» مهاجم؛ تهدیدی خاموش در زیرساخت‌های سازمانی

یکی از مفاهیمی که Symantec در تحلیل این کمپین به آن پرداخته، Dwell Time یا زمان ماندگاری مهاجم در سیستم است. این گروه تهدید با نصب ابزارهای متعدد RMM تلاش می‌کند حضور خود را در سیستم قربانی تا حد ممکن طولانی کند. این موضوع به آنها اجازه می‌دهد به شکل تدریجی داده‌ها را استخراج کنند یا در زمان مناسب دسترسی را به سایر گروه‌های مجرم، مانند گروه‌های باج‌افزار، بفروشند. سیمانتک تأکید کرده است که این رفتار نشانه‌ای از حرکت بازار سایبری به سمت مدل «دسترسی به‌عنوان‌خدمت» است؛ یعنی گروه‌هایی که تنها وظیفه آنها نفوذ اولیه است و سپس دسترسی را به دیگر مهاجمان اجاره می‌دهند. سیمانتک با تحلیل این رفتار، هشدارهای لازم را به مدیران امنیتی ارائه کرده است.

نقش سیمانتک در شناسایی کمپین و ارائه شاخص‌های تهدید

سیمانتک در کشف این کمپین نقش کلیدی داشته است. این شرکت با تحلیل نمونه‌های متعدد، الگوهای ثابتی مانند نام‌های جعلی فایل‌های نصبی، رفتارهای پس از نفوذ و ابزارهای مورد استفاده را شناسایی کرده است. علاوه بر این، سیمانتک شاخص‌های متعددی از جمله هش فایل‌ها، مسیرهای نصب، الگوهای اجرای RMM و رفتارهای مشکوک در سیستم را منتشر کرده است تا تیم‌های امنیتی بتوانند سریع‌تر موارد مشابه را شناسایی کنند. این اقدام کمک بزرگی در مهار نفوذهای جدید محسوب می‌شود و نشان می‌دهد که سیمانتک همچنان یکی از رهبران صنعت در حوزه Threat Intelligence است.

تهدیدات ناشی از فروش دسترسی؛ چرا این کمپین خطرناک‌تر از حد انتظار است؟

بر اساس تحلیل سیمانتک، یکی از سناریوهای محتمل این است که مهاجمان قصد فروش یا اجاره دسترسی را دارند. این موضوع تهدید بسیار بزرگی ایجاد می‌کند زیرا گروه‌های باج‌افزار معمولاً به دنبال مسیرهای ورود آماده هستند و با پرداخت هزینه، دسترسی کامل به سیستم‌های آلوده را خریداری می‌کنند. بنابراین سازمانی که در ظاهر فقط یک نصب مشکوک RMM را مشاهده می‌کند ممکن است چند هفته یا چند ماه بعد قربانی حمله باج‌افزاری گسترده شود. سیمانتک هشدار داده است که این مدل حملات یکی از دلایل اصلی افزایش تعداد حملات باج‌افزاری در سال‌های اخیر است.

راهکارهای سیمانتک برای مقابله با کمپین‌های RMM

سیمانتک به‌عنوان یکی از پیشروترین شرکت‌ها در زمینه امنیت سایبری، مجموعه‌ای از راهکارها را برای مقابله با این تهدیدها ارائه داده است. این راهکارها شامل استفاده از سامانه‌های تشخیص رفتار، نظارت بر نصب ابزارهای RMM، بررسی لاگ‌های سیستم و جلوگیری از اجرای فایل‌های ناشناس از طریق سیاست‌های کنترل برنامه می‌شود. سیمانتک تأکید کرده است که سازمان‌ها باید به‌طور ویژه روی رفتارهای پس از نفوذ تمرکز کنند؛ زیرا بسیاری از ابزارهای RMM به خودی خود مخرب به نظر نمی‌رسند و تنها رفتار آنهاست که ماهیت حمله را مشخص می‌کند.

اهمیت تحلیل تهدید و نقش حیاتی سیمانتک

کمپین «هدایای ناخواسته» تنها یکی از نمونه‌های جدیدی است که نشان می‌دهد حملات سایبری چقدر پیچیده، چندلایه و در حال تکامل هستند. مهاجمان به جای استفاده از بدافزارهای سنتی، اکنون از ابزارهای قانونی استفاده می‌کنند تا ضمن کاهش احتمال شناسایی، به دسترسی بلندمدت دست پیدا کنند. سیمانتک با تحلیل عمیق این کمپین، نشان داده است که تشخیص این حملات بدون هوش تهدیدات به‌روز تقریباً غیرممکن است. این گزارش نه تنها زنگ خطری برای سازمان‌هاست، بلکه تأکیدی دوباره بر اهمیت بهره‌گیری از محصولات و راهکارهای امنیتی سیمانتک برای مقابله با چنین حملات پیچیده‌ای است.