استغلال ثغرة في Microsoft Windows لنشر برمجية PipeMagic و RansomExx

18 أغسطس 2025 | مايسترو نيرو - قسم الثغرات / أمن السحابة

كشف باحثون في مجال الأمن السيبراني عن استغلال الفاعلين الخبيثين لثغرة أمنية مصححة حديثًا في نظام Microsoft Windows لنشر برمجية PipeMagic ضمن هجمات فدية تستخدم RansomExx.

تتضمن الهجمات  استغلال الثغرة CVE-2025-29824، وهي ثغرة تصعيد امتيازات تؤثر على نظام ملفات السجل المشترك في Windows (CLFS) والتي تم معالجتها من قبل Microsoft في أبريل 2025، Kaspersky و BI.ZONE قال في تقرير مشترك نُشر اليوم.

تم توثيق PipeMagic لأول مرة في عام 2022 كجزء من هجمات RansomExx الفدية التي تستهدف الشركات الصناعية في جنوب شرق آسيا، وهي قادرة على العمل كبوابة خلفية كاملة توفر الوصول عن بُعد وتنفيذ مجموعة واسعة من الأوامر على الأنظمة المصابة.

في تلك الهجمات، تم العثور على الفاعلين الخبيثين يستغلون CVE-2017-0144، وهي ثغرة تنفيذ تعليمات عن بُعد في Windows SMB، لاختراق بنية الضحايا. سلاسل العدوى اللاحقة التي لُوحظت في أكتوبر 2024 في المملكة العربية السعودية استخدمت تطبيق OpenAI ChatGPT المزيف ك铒 لنقل البرمجية الخبيثة.

في وقت سابق من هذا الشهر أبريل، نسبت Microsoft استغلال CVE-2025-29824 ونشر PipeMagic إلى فاعل خبيث تتعقبه باسم Storm-2460.

"ميزة فريدة من نوعها في PipeMagic هي أنها تولد مصفوفة عشوائية من 16 بايت تُستخدم لإنشاء أنبوب مسمى مُنسق كـ: \\.\pipe\1.،" قال الباحثون Sergey Lozhkin، وLeonid Bezvershenko، وKirill Korchemny، وIlya Savelyev. "بعد ذلك، يتم تشغيل خيط يقوم بإنشاء هذا الأنبوب باستمرار، ومحاولة قراءة البيانات منه، ثم تدميره. هذه طريقة الاتصال ضرورية للبوابة الخلفية لنقل الحمولات المشفرة والإشعارات."

PipeMagic هو برنامج خبيث معياري قائم على المكونات الإضافية ويستخدم نطاقًا مستضافًا على موفر السحابة Microsoft Azure لاستضافة المكونات الإضافية، وتعتمد هجمات عام 2025 المستهدفة المملكة العربية السعودية والبرازيل على ملف مساعدة من Microsoft ("metafile.mshi") كمحمل. يقوم المُحمل، بدوره، بفك حزم الكود المكتوب بلغة C# والذي يقوم بفك تشفير وتنفيذ شفرة shellcode المُضمَّنة.

"شفرة Shellcode المحقونة هي تعليمات قابلة للتنفيذ لأنظمة Windows من 32 بت،" قال الباحثون. "يقوم بتحميل ملف تنفيذي غير مشفّر مضمن داخل شفرة shellcode نفسها."

قالت Kaspersky إنها اكتشفت أيضًا محفّزات مُحمّل PipeMagic متنكرة في عميل ChatGPT في عام 2025 مشابهة لتلك التي شوهدت سابقًا في أكتوبر 2024. وقد لوحظت العينات تستخدم تقنيات اختطاف DLL لتشغيل DLL خبيئة تحاكي ملف تحديث Google Chrome ("googleupdate.dll").

بغض النظر عن طريقة التحميل المستخدمة، فإنها تقود جميعها إلى نشر البوابة الخلفية PipeMagic التي تدعم وحدات متنوعة -

• وحدة اتصال غير متزامنة تدعم خمسة أوامر لإنهاء المكون الإضافي، أو قراءة/كتابة الملفات، أو إنهاء عملية ملف، أو إنهاء جميع عمليات الملفات
• وحدة تحميل لحقن حمولات إضافية في الذاكرة وتنفيذها
• وحدة حقن لتشغيل ملف تنفيذي مكتوب بلغة C#

"الكشف المتكرر عن PipeMagic في الهجمات على المؤسسات في المملكة العربية السعودية ومظهرها في البرازيل يشير إلى أن البرمجية الخبيثة لا تزال نشطة وأن المهاجمين يستمرون في تطوير وظائفها،" قال الباحثون.

"الإصدارات المكتشفة في عام 2025 تُظهر تحسينات على إصدار عام 2024، بهدف الاستمرارية في أنظمة الضحايا والتحرك الجانبي داخل الشبكات الداخلية. في هجمات عام 2025، استخدم المهاجمون أداة ProcDump، وأعيد تسميتها إلى dllhost.exe، لاستخراج الذاكرة من عملية LSASS."

PipeMagic، إطار عمل برمجي خبيث متطور

وصف PipeMagic على أنه إطار عمل مصمم للمرونة والاستمرارية، قالت Microsoft إن البرمجية الخبيثة يمكنها تنفيذ الحمولات بشكل ديناميكي مع الحفاظ على اتصال قوي للتحكم والأمر (C2) عبر وحدة شبكة مخصصة.

"بينما تتلقى البرمجية الخبيثة وتحمّل وحدات الحمولة من C2، فإنها تمنح الفاعل الخبيث تحكمًا دقيقًا في تنفيذ التعليمات على المضيف المصاب،" قال فريق الاستخبارات التهديدية في Microsoft. "من خلال إسناد اتصال الشبكة ومهام البوابة الخلفية إلى وحدات منفصلة، يحافظ PipeMagic على بنية معيارية وخفية وقابلة للتوسيع بدرجة عالية، مما يجعل الكشف والتحليل أمرًا صعبًا للغاية."

تمتد هجمات Storm-2460 عبر عدة قطاعات وجغرافياً، بما في ذلك تكنولوجيا المعلومات (IT)، والمالي، والعقار في الولايات المتحدة وأوروبا وأمريكا الجنوبية والشرق الأوسط.

PipeMagic تحصل على اسمها من استخدام الاتصال المشفر بين العمليات عبر الأنابيب المسماة. تتواصل البرمجية الخبيثة مع خادم C2 الخاص بها عبر TCP وتتلقى وحدات الحمولة من خلال أنبوب مسمى وخادم C2 الخاص بها. تُخزن الحمولات في الذاكرة باستخدام هيكل بيانات يُسمى قائمة مرتبطة مزدوجة دون ترك أي آثار على القرص.

وحدة أخرى مهمة هي مكون شبكة يُستخدم لاتصالات C2 لإرسال البيانات، وجمع معلومات شاملة عن النظام، ومعالجة الأوامر الواردة في ردود C2 التي تُسهل التحكم الدقيق في إدارة الوحدات وتنفيذها واستطلاع النظام.

"من خلال إسناد اتصال الشبكة ومهام البوابة الخلفية إلى وحدات منفصلة، يحافظ PipeMagic على بنية معيارية وخفية وقابلة للتوسيع بدرجة عالية، مما يجعل الكشف والتحليل أمرًا صعبًا للغاية،" أضاف.

آخر تحديث: 7 أكتوبر 2025