نشطت برمجية PipeMagic الخبيثة مؤخراً في منطقة الخليج بعد أن تمكن فريق الأبحاث العالمي (GReAT) في كاسبرسكي، بالتعاون مع خبراء شركة BI.ZONE، من رصد موجة جديدة من نشاطها حتى عام 2025، بعد ظهورها الأول عام 2022.
تطور هجمات برمجية PipeMagic في الخليج والمناطق الأخرى
تابع أيضاً عاجل اليوم.. موعد ظهور نتيجة تقليل الاغتراب لتنسيق الجامعات 2026 للمرحلتين الأولى والثانية
شهدت هجمات برمجية PipeMagic توسعاً واضحاً، إذ بدأت في آسيا قبل أن تصل إلى المملكة العربية السعودية أواخر 2024، حيث استهدف المهاجمون مؤسسات سعودية بشكل خاص؛ مما يعكس زيادة في الاهتمام بهذه الجغرافيا. كما شملت موجات الهجوم شركات التصنيع في البرازيل، ما يؤكد انتشار البرمجية الخبيثة عبر مناطق متعددة.
تحليل الثغرة الأمنية CVE-2025-29824 وعلاقتها ببرمجية PipeMagic الخبيثة
ركز الباحثون على متابعة تطور برمجية PipeMagic الخبيثة، حيث حددوا ثغرة مايكروسوفت CVE-2025-29824 كأبرز نقطة استغلال في هجمات أبريل 2025؛ فهي الثغرة الوحيدة من بين 121 تم رصدها التي استُخدمت بشكل مكثف. تسمح هذه الثغرة بتصعيد الصلاحيات عبر خلل في برنامج تشغيل سجل ملف النظام clfs.sys، كما تم استغلال ملف فهرس المساعدة من مايكروسوفت لفك تشفير وتنفيذ تعليمات الشيل كود، مما يعزز قدرة البرمجية على السيطرة على الأنظمة المستهدفة.
آليات عمل PipeMagic الخبيثة واستخدام واجهات برمجة التطبيقات للتسلل
قد يهمك رسمياً.. المشاط تستهل زيارتها لطوكيو بالمشاركة في منتدى الأعمال المصري الياباني المشترك اليوم
تعتمد برمجية PipeMagic الخبيثة على شيل كود مشفر بخوارزمية RC4، يتم فك تشفيره ليتم تشغيله بواسطة دالة EnumDisplayMonitorsWinAPI، التي تتيح حقن الكود في العمليات للوصول إلى عناوين واجهات برمجة التطبيقات الخاصة بالنظام. وقد رصد الباحثون إصداراً جديداً من أداة تحميل هذه البرمجية، يأتي على شكل تطبيق شات جي بي تي زائف، يشترك مع النسخ السابقة في بنيته واستخدام مكتبات مثل Tokio وTauri وlibaes، مما يسهل التنقل والاستمرارية داخل شبكات الضحايا.
يشرح «ليونيد بيزفيرشينكو» من فريق GReAT لدى كاسبرسكي أن ظهور نسخ مطورة يعني استمرار تطور البرمجية، حيث تم تحسين قدرتها على البقاء والتنقل ضمن الأنظمة المستهدفة، مما يزيد من خطورتها. ويشدد «بافيل بلينيكوف» من BI.ZONE على أن لفت الانتباه المتزايد لملف clfs.sys عبر استغلال ثغرات اليوم الصفري يعزز فرص المجرمين السيبرانيين في تحقيق مكاسب مالية، لذا ينصح الخبراء باستخدام حلول اكتشاف التهديدات على النقاط الطرفية والاستجابة الفورية لسلوكيات الاختراق.
تُعرف PipeMagic بأنها برمجية باب خلفي خبيثة تم اكتشافها أول مرة في 2022 أثناء تحقيقات في حملة مرتبطة ببرمجية الفدية RansomExx، حيث استُهدفت شركات صناعية جنوب شرق آسيا. وتستغل هذه البرمجية ثغرة CVE-2017-0144 للوصول إلى البنية التحتية الداخلية، وتعمل في وضعين؛ إما كأداة وصول عن بعد متكاملة أو كوكيل شبكة لتنفيذ أوامر متنوعة. في أكتوبر 2024، أُطلق نسخة جديدة ضمن هجمات تطاول مؤسسات سعودية، استخدمت تطبيق شات جي بي تي زائف للإيقاع بالضحايا.
| العنصر | التفصيل |
|---|---|
| البرمجية | PipeMagic الخبيثة |
| الثغرة الأمنية المستغلة | CVE-2025-29824 وثغرة clfs.sys |
| آلية التشفير | خوارزمية RC4 مع ترميز سداسي عشري |
| أدوات تطوير | Tokio، Tauri، libaes |
| المناطق المستهدفة | آسيا، الخليج (السعودية)، البرازيل |
| وضع التشغيل | أداة وصول عن بعد أو وكيل شبكة |
- استغلال الثغرة CVE-2025-29824 لتصعيد الصلاحيات في النظام
- حقن الشيل كود المشفر عبر واجهات برمجة التطبيقات
- استخدام ملفات مايكروسوفت المساعدة لفك التشفير وتنفيذ التعليمات
- تطوير نسخ مزيفة من تطبيقات شات جي بي تي لخداع الضحايا
تصرف صحفي يمني لسداد ديونه يثير تعاطفاً واسعاً خارجيًاً… تعرف على قصته الآن
«فرص مذهلة» التقديم على وظائف وزارة الدفاع السعودية 1446 للرجال والنساء.. التفاصيل هنا
مسلسل قيامة عثمان الحلقة 193 الموسم السادس: موعد العرض والقنوات الناقلة
«أسرار صامدة» الاقتصاد المصري مع الصدمات الخارجية وكيف يواجهها بقوة
«أخبار عاجلة» السفارة الأمريكية بإسرائيل تغلق وتحث مواطنيها على البقاء
الجوازات السعودية تعلن بدء تطبيق نظام هوية مقيم الجديد بميزات موسعة
«مخاوف كبيرة» وقف إطلاق النار في سوريا هل ينهي أزمة روسية دامية حقاً
