أعلن فريق الأبحاث والتحليل العالمي (GReAT) التابع لشركة كاسبرسكي، بالتعاون مع خبراء أبحاث الثغرات الأمنية في BI.ZONE، عن رصد نشاطات جديدة لبرمجية PipeMagic الخبيثة، التي تم اكتشافها لأول مرة في عام 2022 وأعيد ظهورها لاحقًا في 2025.
بدأت الهجمات في قارة آسيا، ثم ظهرت في المملكة العربية السعودية أواخر عام 2024، قبل أن تتوسع مؤخرًا إلى شركات التصنيع في البرازيل، في مؤشر على سعي مشغليها لاستهداف مناطق وقطاعات جديدة.
استغلال ثغرة CVE-2025-29824 في هجمات متطورة
أوضح الباحثون أن البرمجية استغلت ثغرة CVE-2025-29824، وهي من بين 121 ثغرة رُصدت في أبريل 2025، لكنها الوحيدة التي تم استغلالها بشكل متكرر في الهجمات السيبرانية الأخيرة.
تتيح هذه الثغرة تصعيد الصلاحيات داخل نظام التشغيل نتيجة خلل في برنامج تشغيل سجل ملف النظام clfs.sys، وتم توظيفها كجزء رئيسي من سلسلة إصابة PipeMagic، ما زاد من خطورة الهجمات وتأثيرها على الأنظمة المستهدفة.
تقنيات متقدمة لتنفيذ الشيفرات الخبيثة
كشفت التحقيقات أن بعض الهجمات في 2025 اعتمدت على ملف فهرس المساعدة من مايكروسوفت (Microsoft Help Index File)، الذي استُخدم لفك تشفير وتنفيذ تعليمات الشيل كود.
وقد تم تشفير الشيل كود بخوارزمية RC4 بالترميز السداسي العشري، ليُنفذ بعد ذلك عبر دالة EnumDisplayMonitors WinAPI، مما يتيح للمهاجمين الوصول إلى واجهات برمجة التطبيقات الخاصة بالنظام وحقن العمليات بشكل متقدم.
أداة تحميل جديدة متنكرة كتطبيق شات جي بي تي
اكتشف الباحثون إصدارًا مطورًا من أداة تحميل PipeMagic، جاء على هيئة تطبيق مزيف يشبه ChatGPT.
ويتطابق التطبيق الجديد مع النسخة التي استُخدمت في هجمات 2024 ضد مؤسسات سعودية من حيث:
- اعتماده على إطاري عمل Tokio وTauri.
- استخدام نفس إصدار مكتبة libaes.
- تشابه في هيكل الملفات والسلوكيات التشغيلية.
تصريحات الخبراء حول خطورة PipeMagic
أكد ليونيد بيزفيرشينكو، الباحث الأمني الرئيسي في فريق GReAT لدى كاسبرسكي، أن النسخة الجديدة من البرمجية تظهر استمرار تطورها وقدرتها على البقاء في أنظمة الضحايا والتنقل بين الشبكات.
فيما أشار بافيل بلينيكوف، رئيس أبحاث الثغرات الأمنية في BI.ZONE، إلى أن المهاجمين يركزون على استغلال ملف clfs.sys بشكل متكرر، خاصة لتحقيق مكاسب مالية عبر ثغرات اليوم الصفري، موصيًا باستخدام حلول EDR لرصد السلوكيات المشبوهة ومنع الاختراقات.
خلفية عن PipeMagic وتاريخ هجماتها
تعود أولى عمليات اكتشاف PipeMagic إلى عام 2022، حين تم رصدها في هجمات استهدفت شركات صناعية في جنوب شرق آسيا، وكانت مرتبطة ببرمجية الفدية RansomExx.
اعتمد المهاجمون حينها على ثغرة CVE-2017-0144 للوصول إلى البنية التحتية، وقدمت البرمجية خيارين للتشغيل: باب خلفي متكامل للوصول عن بعد أو وكيل شبكة لتنفيذ الأوامر.
وفي أكتوبر 2024، ظهرت نسخة جديدة ضمن هجمات على مؤسسات سعودية عبر تطبيق زائف شبيه بـ ChatGPT لخداع الضحايا والإيقاع بهم.
📌 للاطلاع على التقرير الكامل: Securelist.com
سجل في قائمتنا البريدية لتصلك آخر الأخبار
تابعونا أيضا على بوابة التكنولوجيا وأخبارها في مصر
