🧩 تحلیل فنی: سوءاستفاده مهاجمان از ConnectWise برای ساخت بدافزارهای امضاشده
در ماههای اخیر (از مارس ۲۰۲۵)، افزایش چشمگیری در نمونههای آلوده و اپلیکیشنهای جعلی مشاهده شده که با نمونههای امضاشدهی معتبر از نرمافزار ConnectWise ساخته شدهاند.
🔹 ابزار ConnectWise چیست؟
نرم افزار ConnectWise یک پلتفرم مدیریت و پشتیبانی از راه دور (Remote Monitoring & Management - RMM) است که معمولاً توسط تیمهای IT و شرکتهای MSP برای مدیریت سیستمها، مانیتورینگ شبکه، پشتیبانی کاربران، و انجام عملیات از راه دور استفاده میشود.
این نرمافزار به سرورها و کلاینتهای سازمانی دسترسی سطح بالا دارد و میتواند اسکریپت اجرا کند، فایل منتقل کند، و سرویسها را کنترل کند — یعنی دقیقاً همان سطح دسترسیای که یک مهاجم هم در پی آن است.
به همین دلیل، اگر مهاجمان بتوانند از نسخهی معتبر یا امضاشدهی ConnectWise سوءاستفاده کنند، میتوانند از آن بهعنوان ابزاری قانونی برای اجرای بدافزار و کنترل سیستمها بهره ببرند.
گزارش جدید شرکت G DATA نشان میدهد که مهاجمان سایبری با بهرهگیری از ضعف در فرآیند امضای دیجیتال، موفق شدهاند از ConnectWise به عنوان "builder" برای تولید بدافزارهای امضاشده و قابل اعتماد استفاده کنند.
به بیان سادهتر: امضای معتبر، باعث میشود سیستمهای امنیتی و کاربران به فایل مخرب اعتماد کنند — در حالی که در واقعیت، فایل یک بدافزار است.
🔍 نکات مهم گزارش:
خطای اصلی در فرآیند code-signing و مدیریت گواهیها است.
مهاجمان با استفاده از نسخههای معتبر ConnectWise، بدافزارهایی تولید میکنند که امضا و اعتبار قانونی دارند.
بسیاری از محصولات امنیتی در شناسایی این نوع تهدیدها دچار چالش میشوند.
راهکار پیشنهادی: بررسی دقیق رفتار اجرایی بهجای اعتماد مطلق به امضا و گواهیها.
📎 منبع:
G DATA Software Blog – ConnectWise Abuse
#ThreatIntel #ConnectWise #Malware #CodeSigning #BlueTeam
تیم سورین
در ماههای اخیر (از مارس ۲۰۲۵)، افزایش چشمگیری در نمونههای آلوده و اپلیکیشنهای جعلی مشاهده شده که با نمونههای امضاشدهی معتبر از نرمافزار ConnectWise ساخته شدهاند.
نرم افزار ConnectWise یک پلتفرم مدیریت و پشتیبانی از راه دور (Remote Monitoring & Management - RMM) است که معمولاً توسط تیمهای IT و شرکتهای MSP برای مدیریت سیستمها، مانیتورینگ شبکه، پشتیبانی کاربران، و انجام عملیات از راه دور استفاده میشود.
این نرمافزار به سرورها و کلاینتهای سازمانی دسترسی سطح بالا دارد و میتواند اسکریپت اجرا کند، فایل منتقل کند، و سرویسها را کنترل کند — یعنی دقیقاً همان سطح دسترسیای که یک مهاجم هم در پی آن است.
به همین دلیل، اگر مهاجمان بتوانند از نسخهی معتبر یا امضاشدهی ConnectWise سوءاستفاده کنند، میتوانند از آن بهعنوان ابزاری قانونی برای اجرای بدافزار و کنترل سیستمها بهره ببرند.
گزارش جدید شرکت G DATA نشان میدهد که مهاجمان سایبری با بهرهگیری از ضعف در فرآیند امضای دیجیتال، موفق شدهاند از ConnectWise به عنوان "builder" برای تولید بدافزارهای امضاشده و قابل اعتماد استفاده کنند.
به بیان سادهتر: امضای معتبر، باعث میشود سیستمهای امنیتی و کاربران به فایل مخرب اعتماد کنند — در حالی که در واقعیت، فایل یک بدافزار است.
🔍 نکات مهم گزارش:
خطای اصلی در فرآیند code-signing و مدیریت گواهیها است.
مهاجمان با استفاده از نسخههای معتبر ConnectWise، بدافزارهایی تولید میکنند که امضا و اعتبار قانونی دارند.
بسیاری از محصولات امنیتی در شناسایی این نوع تهدیدها دچار چالش میشوند.
راهکار پیشنهادی: بررسی دقیق رفتار اجرایی بهجای اعتماد مطلق به امضا و گواهیها.
📎 منبع:
G DATA Software Blog – ConnectWise Abuse
#ThreatIntel #ConnectWise #Malware #CodeSigning #BlueTeam
تیم سورین
Please open Telegram to view this post
VIEW IN TELEGRAM
Gdatasoftware
Threat Actors abuse signed ConnectWise application as malware builder
Since March 2025, there has been a noticeable increase in infections and fake applications using validly signed ConnectWise samples. We reveal how bad signing practices allow threat actors to abuse this legitimate software to build and distribute their own…
❤1