تنبيه أمني.. كاسبرسكي وBI.ZONE ترصدان نشاطًا جديدًا لبرمجية PipeMagic الخبيثة في الخليج

برمجية PipeMagic الخبيثة تعود مع نشاط جديد في منطقة الخليج، حيث رصد فريق الأبحاث والتحليل العالمي (GReAT) في كاسبرسكي، بالتعاون مع خبراء شركة BI.ZONE، نشاطاً متجدداً لبرمجية PipeMagic الخبيثة التي ظهرت أول مرة عام 2022 وعادت مجدداً في 2025، مما يشير إلى استمرار تهديداتها وتطورها المستمر في المنطقة.

تطور هجمات برمجية PipeMagic الخبيثة وانتشارها في الخليج

شهدت هجمات برمجية PipeMagic انتشاراً ملحوظاً في مناطق متعددة، حيث بدأت في آسيا، ثم امتدت إلى المملكة العربية السعودية في أواخر 2024. تركزت الهجمات الأخيرة بشكل كبير على المؤسسات السعودية، ما يدل على تصاعد الاهتمام بهذا السوق بشكل خاص، بجانب التوسع الجغرافي الذي شمل شركات التصنيع في البرازيل، مما يؤكد قدرات البرمجية على اختراق بيئات وأهداف متنوعة عبر قارات مختلفة.

ثغرة CVE-2025-29824 واستخدامها في هجمات برمجية PipeMagic الخبيثة

تابع الباحثون تطور برمجية PipeMagic الخبيثة وحللوا التغييرات في استراتيجيات مبرمجيها، مع التركيز على ثغرة مايكروسوفت المعروفة برمز CVE-2025-29824، والتي كانت من بين 121 ثغرة تمت ملاحظتها في أبريل 2025، ولكنها الوحيدة التي استُخدمت بشكل مكثف ضمن الهجمات السيبرانية. تستغل هذه الثغرة، المدمجة ضمن سلسلة إصابة PipeMagic، خللاً في برنامج تشغيل سجل ملف النظام clfs.sys، ما يتيح تصعيد الصلاحيات داخل نظام التشغيل. شهدت هجمات عام 2025 استخدام ملف فهرس المساعدة من مايكروسوفت لفك تشفير وتنفيذ تعليمات الشيل كود، لتسهيل عملية الاختراق.

التقنيات والآليات المستخدمة في برمجية PipeMagic الخبيثة

تعتمد برمجية PipeMagic على تقنيات متقدمة لزيادة فعالية هجماتها، حيث تُشفّر تعليمات الشيل كود باستخدام خوارزمية RC4 بترميز سداسي عشري، وبعد فك التشفير يتم تشغيل الكود عبر دالة EnumDisplayMonitorsWinAPI، التي تتيح حقن العمليات والوصول إلى عناوين واجهات برمجة التطبيقات المرتبطة بالنظام. كما كشف الباحثون عن إصدار جديد من أداة تحميل برمجية PipeMagic، والتي جاءت على شكل تطبيق يشبه تطبيق شات جي بي تي، مماثل للإصدار الذي استُخدم في هجمات 2024 على المؤسسات السعودية، حيث يشترك الإصداران في بيئة التطوير Tokio وTauri، واستخدام نفس مكتبة libaes، مع تشابه في سلوك وبنية الملفات.

علق «ليونيد بيزفيرشينكو»، الباحث الأمني في GReAT، مشيراً إلى أن ظهور نسخة متطورة من برمجية PipeMagic يعكس قدرتها المستمرة على التكيف، مع تحسينات مكنت البرمجية من البقاء لفترات طويلة داخل أنظمة الضحايا والتنقل بسلاسة داخل الشبكات المستهدفة.

استهداف ملف clfs.sys ودور المجرمين السيبرانيين في انتشار برمجية PipeMagic الخبيثة

يُشير «بافيل بلينيكوف»، رئيس أبحاث الثغرات في BI.ZONE، إلى تصاعد استهداف ملف clfs.sys في الآونة الأخيرة، خاصة من قبل مجرمي الإنترنت الباحثين عن مكاسب مادية. يعتمد هؤلاء المهاجمون على استغلال ثغرات “اليوم الصفري” في هذا الملف وغيره من البرامج للحصول على صلاحيات مرتفعة، مما يسمح لهم بإخفاء أنشطتهم بعد الاختراق. وللوقاية من هذه المخاطر، يُوصى باستخدام أدوات اكتشاف تهديدات النقاط الطرفية والاستجابة لها (EDR)، القادرة على رصد السلوكيات المشبوهة قبل وبعد استغلال الثغرات.

نبذة عن برمجية PipeMagic الخبيثة وكيفية عملها

برمجية PipeMagic تُعرف كباب خلفي خبيث اكتشفت للمرة الأولى بواسطة كاسبرسكي عام 2022 خلال التحقيق في حملة مرتبطة ببرمجية الفدية RansomExx، حيث استُهدفت شركات صناعية في جنوب شرق آسيا، واستُغل فيها ثغرة CVE-2017-0144 للوصول إلى البنية التحتية الداخلية. يقيم هذا الباب الخلفي وضعين للتشغيل؛ إما كأداة متكاملة للوصول عن بعد أو كوكيل شبكة، ما يتيح تنفيذ مجموعة واسعة من الأوامر.

في أكتوبر 2024، عاودت برمجية PipeMagic الظهور بنسخة جديدة خلال هجمات استهدفت مؤسسات سعودية، مستخدمة تطبيقاً مزيفاً شبيهاً بتطبيق شات جي بي تي لخداع الضحايا، ما يعكس تطور أساليب الاحتيال المستخدمة لنشر الهجمات.

• ظهور برمجية PipeMagic الأولى عام 2022 مع حملة RansomExx
• توسع الهجمات إلى السعودية والبرازيل في 2024-2025
• استغلال ثغرة CVE-2025-29824 لتصعيد الصلاحيات
• استخدام تطبيقات مزيفة شبيهة بشات جي بي تي لخداع الضحايا
• توصيات باستخدام أدوات EDR لمواجهة التهديدات السيبرانية