كشفت شركة ConnectWise ، المطورة لبرنامج الوصول والدعم عن بعد ScreenConnect ، أنها تعرضت لهجوم سيبراني يُعتقد أنه من تنفيذ جهة تهديد حكومية.
أوضحت الشركة في بيان لها أنها رصدت نشاطًا مشبوهًا داخل بيئتها، يرجح أنه مرتبط بجهة تهديد متقدمة، وأثر على عدد محدود جدًا من عملاء ScreenConnect.
وقد استعانت ConnectWise بخبراء الأمن السيبراني في Google Mandiant لإجراء تحقيق جنائي رقمي، وأبلغت جميع العملاء المتأثرين، دون الإفصاح عن عددهم أو توقيت الهجوم أو هوية الجهة المهاجمة.
علاقة الهجوم بثغرات أمنية سابقة:
– في أبريل 2025 ، قامت الشركة بسد ثغرة أمنية خطيرة في ScreenConnect (CVE-2025-3935، بدرجة 8.1 على مقياس CVSS)، كانت تسمح بحقن شيفرات ViewState باستخدام مفاتيح ASP.NET المكشوفة للعامة، وهي تقنية أفادت Microsoft سابقًا بأنها مستغلة من قبل جهات خبيثة.
– تمت معالجة الثغرة في الإصدار 25.2.4 ، ولكن حتى الآن لم يتم تأكيد ما إذا كان الهجوم السيبراني مرتبطًا باستغلالها أم لا.
إجراءات ConnectWise لمنع تكرار الهجوم:
– نفذت الشركة إجراءات رصد وتعزيز أمني لمواجهة التهديدات المستقبلية، وأكدت أنها لم تلاحظ أي أنشطة مشبوهة أخرى بين عملائها حتى الآن.
من ناحية أخرى يشار إلى أنه في 2024 ، تم استغلال ثغرات في برنامج ScreenConnect (CVE-2024-1708 وCVE-2024-1709) من قبل جهات إجرامية وحكومية ، بما في ذلك مجموعات تهديد من الصين وكوريا الشمالية وروسيا ، لنشر برمجيات خبيثة.
