كشف تقرير أمني جديد عن استهداف قراصنة لإحدى أدوات مراقبة الموظفين الشهيرة واستخدامها كنقطة انطلاق لهجمات برامج الفدية الخبيثة.
كيف يستخدم القراصنة أدوات المراقبة؟
حللت شركة “هانترس” للأمن السيبراني اختراقين حدثا أواخر يناير وأوائل فبراير 2026. في كلتا الحالتين، جمع المهاجمون بين برنامج “نت مونيتور فور إمبلويز بروفيشونال” وأداة “سيمبل هيلب” للوصول عن بُعد.
استخدم المتسللون برنامج مراقبة الموظفين للتسلل إلى أنظمة الشركة، ثم استخدموا أداة الوصول عن بُعد لضمان بقائهم داخل النظام حتى إذا أُغلقت نقطة الدخول الأولى. وقد أدى هذا النشاط في النهاية إلى محاولة نشر برنامج فدية يسمى “كرايزي”.
أدوات مشروعة لأهداف خبيثة
يشير التقرير إلى اتجاه متزايد حيث يستغل القراصنة برامج تجارية مشروعة للاندماج في بيئات العمل دون أن يلفتوا الانتباه. فبرنامج مراقبة الموظفين المذكور يوفر إمكانيات تشبه برامج الاختراق التقليدية، مثل الاتصال العكسي وتنفيذ الأوامر عن بُعد.
وعند دمجه مع أداة وصول ثانوية، تخلق هذه الأدوات معاً نقطة اختراق قوية يصعب تمييزها عن البرامج الإدارية المشروعة.
انتشار “برامج المراقبة” ومخاطرها
يختلف استخدام ما يسمى بـ”برامج مراقبة الموظفين” حول العالم، لكنه منتشر. وتشير التقديرات إلى استخدام حوالي 60% من الشركات الأمريكية لهذه البرامج.
صممت هذه الأدوات في الأصل لتتبع إنتاجية الموظفين، لكن إمكاناتها جعلتها هدفاً جذاباً للمتسللين. فهي تتيح، على سبيل المثال، التحكم في سطح المكتب عن بُعد وإدارة الملفات، مما يمكن القراصنة من الاندماج في النظام دون الحاجة إلى برامج ضارة تقليدية.
تفاصيل الحالتين
في الحالة الأولى، بدأ الهجوم بتعديل مشبوه للحسابات على جهاز ما، ثم نزل المتسلل برنامج “سيمبل هيلب” وحاول تعطيل برنامج الحماية “ويندوز ديفيندر” قبل محاولة نشر برنامج الفدية.
أما في الحالة الثانية، فقد دخل المهاجمون عبر حساب VPN مخترق تابع لأحد الموردين، ثم قاموا بتثبيت عميل برنامج المراقبة مباشرة من موقع المطور. وقاموا بتسمية الخدمة والعمليات بأسماء تبدو شرعية لإخفاء نشاطهم، ثم ثبتوا أداة الوصول الثانوية وضبطوا مراقبة تستهدف كلمات مثل “محفظة عملات رقمية” و”منصات تداول”.
كيف تحمي شركتك؟
أكدت الشركة المطورة لبرنامج المراقبة أن تثبيت البرنامج يتطلب صلاحيات مسؤول على الجهاز. لذلك، فإن أفضل دفاع هو:
- ضمان عدم منح صلاحيات المسؤول لمستخدمين غير مصرح لهم.
- تعزيز أمان حسابات VPN والتحقق من الهوية.
- مراقبة الأنشطة غير المعتادة على الخوادم وأجهزة التحكم.
هذه ليست المرة الأولى التي يتم فيها استغلال مثل هذه البرامج. ففي أبريل 2025، كشف باحثون عن تعرض أكثر من 21 مليون لقطة شاشة حية بسبب تخزين غير آمن لبيانات أحد تطبيقات المراقبة، مما أدى إلى تسرب بيانات حساسة.
الأسئلة الشائعة
ما هو الخطر الرئيسي من هذه الهجمات؟
الخطر الرئيسي هو أن القراصنة يستخدمون برامج مراقبة موظفين مشروعة للتسلل إلى أنظمة الشركات ومحاولة تشفير البيانات ببرامج الفدية أو سرقة المعلومات المالية، خاصة المتعلقة بالعملات الرقمية.
كيف يدخل المتسللون إلى النظام أساساً؟
غالباً ما يستغل المهاجمون نقاط ضعف أساسية مثل حسابات VPN مخترقة أو صلاحيات مسؤول مسربة، وليس ثغرات في برامج المراقبة نفسها. فهم يحتاجون لصلاحيات مسؤول لتثبيت البرنامج من الأساس.
كيف يمكن للشركات الحماية؟
الحماية تبدأ بتقوية إجراءات التحقق من الهوية، ومراقبة حسابات المسؤولين، وعدم منح صلاحيات إدارية إلا للضرورة القصوى. كما يجب مراقبة الأنشطة غير المعتادة على الشبكة، خاصة تلك المتعلقة بتثبيت برامج جديدة أو اتصالات بعيدة.
