الأمن السيبراني

ثغرة ويندوز CVE-2025-29824 تُستغل لنشر برمجية PipeMagic في هجمات RansomExx

استغلال ثغرة ويندوز CVE-2025-29824 لنشر برمجية PipeMagic

صورة Khaled AlZahrani Khaled AlZahraniمنذ 5 ساعات
0 دقيقة واحدة
Microsoft Windows Vulnerability Exploited to Deploy PipeMagic RansomExx Malware

كشف باحثون في مجال الأمن السيبراني عن استغلال ثغرة أمنية في نظام مايكروسوفت ويندوز (CVE-2025-29824) في هجمات أدت إلى نشر برمجية PipeMagic ضمن سلسلة هجمات RansomExx.
هذه الثغرة، التي تم إصلاحها من قبل مايكروسوفت في أبريل 2025، تتعلق بآلية Windows Common Log File System (CLFS) وتُستخدم لرفع الامتيازات على الأنظمة المستهدفة.

خلفية حول برمجية PipeMagic

ظهرت PipeMagic لأول مرة عام 2022 كجزء من هجمات استهدفت شركات صناعية في جنوب شرق آسيا.

  • تعمل كـ باب خلفي (Backdoor) يوفر وصولًا عن بُعد.

  • قادرة على تنفيذ أوامر متعددة على الأجهزة المصابة.

  • استُخدمت سابقًا عبر استغلال ثغرة CVE-2017-0144 في بروتوكول SMB للوصول إلى الشبكات.

في أكتوبر 2024، رُصدت هجمات في السعودية استخدمت تطبيقًا مزيفًا لـ ChatGPT كطُعم لتوزيع البرمجية.

تفاصيل الهجمات في 2025

  • نسبت مايكروسوفت الاستغلال الأخير لمجموعة تهديد تُعرف باسم Storm-2460.

  • البرمجية تولّد أنبوبًا باسم عشوائي (Named Pipe) للتواصل السري ونقل الحمولات المشفرة.

  • الهجمات الأخيرة استهدفت السعودية والبرازيل، مستخدمةً ملف metafile.mshi كأداة تحميل (Loader).

  • هذا اللودر يفك تشفير كود بلغة C# لتنفيذ شيفرة خبيثة (Shellcode) تعمل على أنظمة ويندوز 32-بت.

كما اكتشف باحثو Kaspersky ملفات لودر تتخفى كتطبيق ChatGPT، مع استخدام تقنيات DLL Hijacking عبر ملف وهمي باسم googleupdate.dll.

وظائف PipeMagic الرئيسية

  • وحدة اتصال غير متزامنة: تدير أوامر لقراءة/كتابة الملفات أو إنهاء العمليات.

  • وحدة التحميل (Loader): لحقن حمولة إضافية وتنفيذها في الذاكرة.

  • وحدة الحقن (Injector): لتشغيل ملفات تنفيذية مكتوبة بلغة C#.

تطور مستمر للبرمجية

أشارت التقارير إلى أن نسخة 2025 من PipeMagic أكثر تطورًا من نسخة 2024، حيث تضمنت:

  • تحسينات للبقاء لفترة أطول داخل الأنظمة المصابة.

  • قدرات أكبر للتحرك أفقيًا داخل الشبكات الداخلية.

  • استخدام أداة ProcDump (معاد تسميتها إلى dllhost.exe) لاستخراج بيانات حساسة من عملية LSASS.

تكشف هذه الهجمات أن PipeMagic لا تزال نشطة وتتطور باستمرار، مستهدفة قطاعات حيوية في الشرق الأوسط وأمريكا اللاتينية. استغلال ثغرة CVE-2025-29824 يبرز الحاجة الملحة لتحديث الأنظمة وتصحيح الثغرات الأمنية فور صدور الإصلاحات.

الوسوم
صورة Khaled AlZahrani Khaled AlZahraniمنذ 5 ساعات
0 دقيقة واحدة
صورة Khaled AlZahrani

Khaled AlZahrani

مقالات ذات صلة

New Linux Flaws Enable Full Root Access via PAM and Udisks Across Major Distributions

باحثون يكشفون ثغرات خطيرة في لينكس تُمكّن من تصعيد الامتيازات إلى Root

2025-07-27
Microsoft Links Ongoing SharePoint Exploits to Three Chinese Hacker Groups

مايكروسوفت تربط هجمات SharePoint بمجموعات اختراق صينية

منذ 4 أسابيع
INTERPOL Arrests 1,209 Cybercriminals Across 18 African Nations in Global Crackdown

الإنتربول يعتقل 1209 مجرمين إلكترونيين في إفريقيا ضمن عملية Serengeti 2.0

منذ أسبوع واحد
PUBLOAD and Pubshell Malware Used in Mustang Panda's Tibet-Specific Attack

هجوم سيبراني صيني يستهدف التبت باستخدام أدوات PUBLOAD وPubshell

2025-07-27

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى