الأمن السيبراني

ثغرة ويندوز CVE-2025-29824 تُستغل لنشر برمجية PipeMagic في هجمات RansomExx

استغلال ثغرة ويندوز CVE-2025-29824 لنشر برمجية PipeMagic

كشف باحثون في مجال الأمن السيبراني عن استغلال ثغرة أمنية في نظام مايكروسوفت ويندوز (CVE-2025-29824) في هجمات أدت إلى نشر برمجية PipeMagic ضمن سلسلة هجمات RansomExx.
هذه الثغرة، التي تم إصلاحها من قبل مايكروسوفت في أبريل 2025، تتعلق بآلية Windows Common Log File System (CLFS) وتُستخدم لرفع الامتيازات على الأنظمة المستهدفة.

خلفية حول برمجية PipeMagic

ظهرت PipeMagic لأول مرة عام 2022 كجزء من هجمات استهدفت شركات صناعية في جنوب شرق آسيا.

  • تعمل كـ باب خلفي (Backdoor) يوفر وصولًا عن بُعد.

  • قادرة على تنفيذ أوامر متعددة على الأجهزة المصابة.

  • استُخدمت سابقًا عبر استغلال ثغرة CVE-2017-0144 في بروتوكول SMB للوصول إلى الشبكات.

في أكتوبر 2024، رُصدت هجمات في السعودية استخدمت تطبيقًا مزيفًا لـ ChatGPT كطُعم لتوزيع البرمجية.

تفاصيل الهجمات في 2025

  • نسبت مايكروسوفت الاستغلال الأخير لمجموعة تهديد تُعرف باسم Storm-2460.

  • البرمجية تولّد أنبوبًا باسم عشوائي (Named Pipe) للتواصل السري ونقل الحمولات المشفرة.

  • الهجمات الأخيرة استهدفت السعودية والبرازيل، مستخدمةً ملف metafile.mshi كأداة تحميل (Loader).

  • هذا اللودر يفك تشفير كود بلغة C# لتنفيذ شيفرة خبيثة (Shellcode) تعمل على أنظمة ويندوز 32-بت.

كما اكتشف باحثو Kaspersky ملفات لودر تتخفى كتطبيق ChatGPT، مع استخدام تقنيات DLL Hijacking عبر ملف وهمي باسم googleupdate.dll.

وظائف PipeMagic الرئيسية

  • وحدة اتصال غير متزامنة: تدير أوامر لقراءة/كتابة الملفات أو إنهاء العمليات.

  • وحدة التحميل (Loader): لحقن حمولة إضافية وتنفيذها في الذاكرة.

  • وحدة الحقن (Injector): لتشغيل ملفات تنفيذية مكتوبة بلغة C#.

تطور مستمر للبرمجية

أشارت التقارير إلى أن نسخة 2025 من PipeMagic أكثر تطورًا من نسخة 2024، حيث تضمنت:

  • تحسينات للبقاء لفترة أطول داخل الأنظمة المصابة.

  • قدرات أكبر للتحرك أفقيًا داخل الشبكات الداخلية.

  • استخدام أداة ProcDump (معاد تسميتها إلى dllhost.exe) لاستخراج بيانات حساسة من عملية LSASS.

تكشف هذه الهجمات أن PipeMagic لا تزال نشطة وتتطور باستمرار، مستهدفة قطاعات حيوية في الشرق الأوسط وأمريكا اللاتينية. استغلال ثغرة CVE-2025-29824 يبرز الحاجة الملحة لتحديث الأنظمة وتصحيح الثغرات الأمنية فور صدور الإصلاحات.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى