كشف باحثون في الأمن السيبراني عن استغلال ثغرة أمنية جرى ترقيعها مؤخرًا في نظام مايكروسوفت ويندوز لتوزيع برمجية PipeMagic التي استُخدمت في هجمات الفدية RansomExx.
تفاصيل الثغرة الأمنية CVE-2025-29824
بحسب تقرير مشترك من شركتي Kaspersky و BI.ZONE، فإن الهجمات استغلت ثغرة CVE-2025-29824، وهي ثغرة تصعيد صلاحيات في Windows Common Log File System (CLFS) قامت مايكروسوفت بإصلاحها في أبريل 2025.
برمجية PipeMagic التي وُثقت لأول مرة عام 2022 استُخدمت ضمن هجمات RansomExx استهدفت شركات صناعية في جنوب شرق آسيا، حيث تعمل كبوابة خلفية متكاملة تمنح المهاجمين وصولًا عن بُعد وتنفيذ أوامر واسعة على الأجهزة المخترقة.
تاريخ الهجمات المرتبطة بـ PipeMagic
-
في هجمات سابقة، استغل المهاجمون ثغرة CVE-2017-0144 في Windows SMB لاختراق البنية التحتية للضحايا.
-
في أكتوبر 2024، رُصدت هجمات في السعودية اعتمدت على تطبيق ChatGPT مزيف كطُعم لنشر البرمجية الخبيثة.
-
في أبريل 2025، نسبت مايكروسوفت استغلال الثغرة الجديدة ونشر PipeMagic إلى مجموعة تهديد تُعرف باسم Storm-2460.
آلية عمل برمجية PipeMagic
تتميز PipeMagic بقدرتها على إنشاء مصفوفة عشوائية مكونة من 16 بايت تُستخدم لإنشاء قناة Pipe باسم محدد، يجري تشغيل خيط برمجي (Thread) يقوم بإنشاء هذه القناة بشكل متكرر، يقرأ منها البيانات ثم يتلفها. وتُستخدم هذه الآلية للتواصل المشفر ونقل الحمولة الضارة.
كما أن PipeMagic برمجية وحداتية تعتمد على المكونات الإضافية (Plugins)، وتستخدم خوادم مستضافة عبر Microsoft Azure لتوزيع مكونات إضافية. وقد شوهدت الهجمات في 2025 في كل من السعودية و البرازيل باستخدام ملف Microsoft Help Index يعمل كلودر (Loader) لفك شيفرة تعليمات C# وتنفيذها.
أساليب التخفي والتحميل
كشفت Kaspersky أن بعض نسخ PipeMagic ظهرت في 2025 على شكل عميل مزيف لتطبيق ChatGPT، كما استُخدمت تقنيات اختطاف DLL (DLL Hijacking) لتشغيل مكتبة خبيثة تتنكر كملف تحديث لمتصفح كروم باسم googleupdate.dll.
بغض النظر عن طريقة التحميل، تؤدي العملية في النهاية إلى تثبيت البوابة الخلفية PipeMagic التي تدعم وحدات متعددة تشمل:
-
وحدة الاتصال غير المتزامن للتحكم في إنهاء الإضافات أو إدارة الملفات.
-
وحدة التحميل لحقن حمولة إضافية وتشغيلها.
-
وحدة الحقن لتشغيل تعليمات C#.
استمرار التهديد وتطوير البرمجية
أكد الباحثون أن استمرار رصد PipeMagic في هجمات استهدفت مؤسسات سعودية وظهورها في البرازيل دليل على أن البرمجية ما زالت نشطة ويتم تطويرها.
وأظهرت النسخ المكتشفة في 2025 تحسينات مقارنة بإصدارات 2024، بما في ذلك زيادة القدرة على البقاء في أنظمة الضحايا والتحرك الجانبي داخل الشبكات الداخلية. كما استخدم المهاجمون أداة ProcDump بعد إعادة تسميتها إلى dllhost.exe لاستخراج بيانات الذاكرة من عملية LSASS.
