برنامج PipeMagic الخبيث
اكتشف باحثون ثغرة أمنية مُصلَّحة في نظام ملفات السجل المشترك (CLFS) لنظام ويندوز، استُغِلَّت بنشاط كهجومٍ مُجهَّز. واستُغِلَّت هذه الثغرة في حملات فدية استهدفت مؤسساتٍ مُحدَّدة في قطاعاتٍ مُتعدِّدة، بما في ذلك قطاعا تكنولوجيا المعلومات والعقارات في الولايات المتحدة، والمؤسسات المالية في فنزويلا، وشركة برمجيات إسبانية، وشركات التجزئة في المملكة العربية السعودية.
جدول المحتويات
فهم CVE-2025-29824
تم تحديد هذه الثغرة الأمنية بالرقم CVE-2025-29824، وهي ثغرة في نظام CLFS تُمكّن المهاجمين من الحصول على امتيازات على مستوى النظام. قامت مايكروسوفت بمعالجة هذه المشكلة وإصلاحها خلال تحديث "الثلاثاء التصحيحي" لشهر أبريل 2025. قامت مجموعة المجرمين الإلكترونيين المسؤولة عن هذه الهجمات، والتي تُعرف باسم Storm-2460، بنشر سلالة من البرامج الضارة تُسمى PipeMagic لاستغلال الثغرة الأمنية ونشر حمولات برامج الفدية.
كيف وقع الهجوم
في حين أن الطريقة الدقيقة للوصول الأولي لا تزال مجهولة، لاحظ الباحثون أن المهاجمين استخدموا أداة cert لتنزيل برامج ضارة من موقع ويب تابع لجهة خارجية مُخترقة. احتوى البرنامج الخبيث، وهو ملف MSBuild مُهدد، على حمولة مشفرة، بمجرد تشغيله، أطلق PipeMagic. لعب هذا البرنامج الخبيث، القائم على المكونات الإضافية، والذي كان نشطًا منذ عام 2022، دورًا محوريًا في تسهيل الهجوم.
هذه ليست المرة الأولى التي يُستخدم فيها PipeMagic في ثغرات يوم الصفر. ففي السابق، أساء استخدام CVE-2025-24983، وهو ثغرة في نظام فرعي لنواة Windows Win32 تُمكّن من تصعيد امتيازات النظام. كما ارتبط أيضًا بهجمات Nokoyawa ransomware التي استغلت ثغرة أخرى في CLFS، وهي CVE-2023-28252. بالإضافة إلى ذلك، أفاد خبراء الأمن السيبراني أنه في هجمات سابقة نُسبت إلى نفس الجهة الفاعلة، تم نشر PipeMagic عبر برنامج نصي MSBuild قبل استغلال ثغرة رفع امتيازات CLFS.
الاستغلال وأثره
يستهدف الهجوم بشكل صريح ثغرة أمنية في برنامج تشغيل نواة CLFS. باستغلال تلف الذاكرة واستخدام واجهة برمجة التطبيقات RtlSetAllBits، يستبدل المهاجمون رمز عملية الاستغلال بـ 0xFFFFFFFF، مانحين إياهم كامل الصلاحيات. يسمح لهم هذا بحقن عمليات غير آمنة في عمليات النظام، مسيطرين فعليًا على الجهاز المصاب. بعد نجاح الاستغلال، يستخرج المهاجمون بيانات اعتماد المستخدم عن طريق تفريغ ذاكرة LSASS وتشفير ملفات النظام بامتداد مُولّد عشوائيًا. ثم يتم إسقاط إشعار فدية يحتوي على نطاق TOR مرتبط بعائلة برامج الفدية RansomEXX.
التدابير الأمنية والدفاعية
على الرغم من خطورة الهجوم، لم يتأثر نظام Windows 11، الإصدار 24H2، بهذا الاستغلال تحديدًا. ويعود ذلك إلى القيود الأمنية المفروضة على فئات معلومات النظام المحددة ضمن NtQuerySystemInformation، والتي تحد من وصول المستخدمين الذين لديهم صلاحية SeDebugPrivilege، وهي صلاحية تُمنح عادةً للمستخدمين الإداريين فقط.
يواصل مرتكبو برامج الفدية إعطاء الأولوية لتصعيد صلاحيات ما بعد الاختراق، إذ يُمكّنهم من تحويل الوصول الأولي إلى سيطرة أوسع داخل الشبكة. ومن خلال استغلال ثغرات أمنية مثل CVE-2025-29824، يمكنهم توسيع نطاق وصولهم، والحصول على صلاحيات وصول، ونشر برامج الفدية ذات الآثار المدمرة. يجب على المؤسسات أن تظل يقظة، وتطبيق تصحيحات أمنية فورية، ومراقبة أي نشاط غير اعتيادي في النظام، وتطبيق ضوابط وصول صارمة للحد من المخاطر التي تُشكلها هذه التهديدات الإلكترونية المتطورة.
برنامج PipeMagic الخبيث فيديو
نصيحة: تشغيل الصوت ON ومشاهدة الفيديو في وضع ملء الشاشة.
