حملة VENOMOUS#HELPER: تصيد عبر SimpleHelp وScreenConnect يهدد بنوك SAMA

كشف باحثو Securonix يوم 4 مايو 2026 عن حملة تصيد متطورة أطلقوا عليها اسم VENOMOUS#HELPER، نجحت في اختراق ما يزيد عن 80 منظمة عبر تثبيت أدوات إدارة عن بُعد شرعية (SimpleHelp وScreenConnect) كقنوات تحكم خلفية. هذا النمط يمثّل تحدياً مباشراً لمنظومة الدفاع في المؤسسات المالية السعودية الخاضعة لرقابة البنك المركزي السعودي (SAMA).

تشريح حملة VENOMOUS#HELPER وآلية استغلال أدوات RMM

تنطلق الحملة عبر رسائل بريد إلكتروني تنتحل صفة هيئة الضمان الاجتماعي الأمريكية (SSA)، تطلب من الضحية تنزيل كشف حساب عبر رابط مزروع. الرابط لا يقود إلى نطاق مشبوه مباشرة، بل إلى موقع تجاري مكسيكي شرعي تم اختراقه مسبقاً، وهو ما يمكّن المهاجم من تجاوز فلاتر البريد التقليدية ومنصات SEG. عند فتح الملف، يقوم المُحمِّل بتثبيت نسخة معدّلة من SimpleHelp ونسخة من ScreenConnect في آن واحد، مما يخلق ما وصفته Securonix بـ "بنية وصول مزدوجة" تضمن استمرار التحكم حتى عند اكتشاف وحظر إحدى الأداتين.

الأخطر أن هذه الأدوات بحد ذاتها شرعية وموقّعة رقمياً ومستخدمة في كثير من بيئات IT المؤسسية، مما يجعل اكتشافها بواسطة EDR التقليدي أمراً صعباً ما لم تُطبَّق سياسات Application Control صارمة وقوائم بيضاء للأدوات المسموحة.

الربط بسلسلة الفدية ومخاطر Initial Access Brokers

أشارت Securonix إلى أن نمط الحملة يتطابق مع نشاط Initial Access Brokers — وهي مجموعات متخصصة في بيع الوصول الأولي للشبكات لعصابات الفدية. وهذا النمط مقلق بشكل خاص في ظل استغلال ثغرات SimpleHelp السابقة (CVE-2024-57726 وCVE-2024-57728) من قِبل عصابة DragonForce لنشر الفدية عبر المنصات المُدارة. بمعنى آخر، حملة VENOMOUS#HELPER قد تكون المرحلة الأولى في سلسلة هجوم تنتهي بتشفير شامل لأنظمة المؤسسة المالية.

التحدي الإضافي أن أدوات RMM الشرعية تمنح المهاجم قدرات نقل ملفات وتنفيذ أوامر وتسجيل لوحة المفاتيح، وكل ذلك تحت غطاء حركة شبكية تبدو طبيعية ومرتبطة بنطاقات السحابة الخاصة بالبائع.

التأثير على المؤسسات المالية الخاضعة لـ SAMA وNCA

تُلزِم ضوابط SAMA Cyber Security Framework — تحديداً المجالات 3.3.5 (Cyber Security Event Management) و3.3.14 (Threat Management) — بمراقبة شاملة لأي أدوات وصول عن بُعد وتقييد استخدامها وفق مبدأ الحاجة. كذلك تشترط ضوابط NCA ECC في الضابط (2-13) Cybersecurity Resilience تطبيق إدارة صارمة للأصول البرمجية وحوكمة موردي IT. تثبيت أدوات RMM دون تصريح يُعدّ خرقاً مباشراً لهذه الضوابط، ويعرّض المؤسسة لمخاطر امتثال إضافية بموجب نظام حماية البيانات الشخصية (PDPL) في حال تم استخراج بيانات العملاء.

الموظف الذي يستلم رسالة منتحَلة لجهة حكومية أمريكية قد لا يكون هو الهدف المباشر، ولكن في بيئة بنكية ذات شبكات flat أو ذات تجزئة ضعيفة، فإن نقطة دخول واحدة كافية للوصول إلى Active Directory ثم إلى أنظمة Core Banking وSWIFT.

التوصيات والخطوات العملية لفِرَق الـ SOC والـ CISO

1. طبّق سياسة Application Allowlisting صارمة عبر Microsoft AppLocker أو Windows Defender Application Control، وامنع تشغيل أي ثنائي RMM غير معتمد رسمياً من قِبل قسم IT.
2. أضِف توقيعات الكشف عن SimpleHelp وScreenConnect غير المُدارَين إلى حلول EDR، وراقب اتصالات الـ Outbound نحو نطاقات مثل simple-help.com وscreenconnect.com خارج نوافذ الاستخدام المعتمدة.
3. فعّل سياسات DMARC وDKIM وSPF بوضع Reject، وطبّق فحص URL في حال تم سحب الرابط من نطاق غير مألوف، حتى لو كان الموقع نفسه يحمل شهادة SSL صالحة.
4. أجرِ تمارين Tabletop وPurple Team تحاكي سيناريو VENOMOUS#HELPER وفق إطار MITRE ATT&CK تكتيك Initial Access (T1566) وCommand and Control (T1219).
5. راجع سجلّات DNS وProxy آخر 60 يوماً بحثاً عن استعلامات نحو نطاقات RMM غير مرخّصة، وارتبط بمزوّد الخدمة لاتخاذ إجراءات Takedown إذا لزم.
6. دمج تدفقات Threat Intelligence من Microsoft Defender XDR وRecorded Future لرصد IOCs الخاصة بهذه الحملة (هاش الملفات، نطاقات C2، عناوين IP).
7. دعّم تجزئة الشبكة (Network Segmentation) بحيث لا تستطيع محطة عمل اختراقها الوصول مباشرة إلى أنظمة المدفوعات أو قواعد بيانات العملاء.

الخلاصة

حملة VENOMOUS#HELPER ليست مجرد خبر عابر؛ بل هي تحوّل في نموذج تهديد المؤسسات المالية، حيث يصبح السلاح الرئيسي للمهاجم هو أدواتك الشرعية ذاتها. القاعدة الذهبية لـ CISO السعودي اليوم: "كل أداة وصول عن بُعد غير مُدارَة هي قناة فدية محتملة". الاستثمار في Application Control وثقافة الإبلاغ السريع عن الرسائل المشبوهة يُعدّ أولوية لا تقبل التأجيل وفق متطلبات SAMA CSCC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة سياسات RMM وApplication Control لديك.