أخبار التقنية, المميزة, عام

كاسبرسكي وBI.ZONE ترصدان نشاطًا جديدًا لبرمجية PipeMagic الخبيثة في أمريكا اللاتينية ومنطقة الخليج

نشر بواسطة author-avatar
0

🔹 عودة البرمجية بعد اكتشافها لأول مرة في 2022، مع توسع ملحوظ في الاستهدافات لتشمل السعودية والبرازيل
🔹 استغلال لثغرة مايكروسوفت (CVE-2025-29824) ضمن سلسلة إصابة متطورة
🔹 ظهور نسخة جديدة من أداة تحميل PipeMagic على هيئة تطبيق زائف يشبه شات جي بي تي

تفاصيل الاكتشاف

19 أغسطس 2025 – أعلن فريق الأبحاث والتحليل العالمي (GReAT) في شركة كاسبرسكي، بالتعاون مع خبراء أبحاث الثغرات الأمنية في BI.ZONE، عن رصد نشاط جديد لبرمجية PipeMagic الخبيثة، التي ظهرت لأول مرة عام 2022 وأعادت الظهور بقوة خلال 2024 و2025.

وبحسب التقرير، فقد توسعت هجمات البرمجية من آسيا إلى المملكة العربية السعودية أواخر 2024، لتشمل مؤخرًا شركات التصنيع في البرازيل، مما يعكس اهتمامًا متزايدًا من مشغليها باستهداف المؤسسات في منطقة الخليج وأمريكا اللاتينية.

أساليب الاستهداف والثغرات المستغلة

رصد الباحثون أن مشغلي البرمجية اعتمدوا على ثغرة CVE-2025-29824 في أنظمة مايكروسوفت، والتي أتاحت لهم تصعيد الصلاحيات عبر خلل في برنامج تشغيل clfs.sys. ومن بين 121 ثغرة رُصدت في أبريل 2025، كانت هذه الثغرة الأكثر استغلالًا ضمن الهجمات السيبرانية.

كما كشفت الهجمات الجديدة عن استغلال ملف Microsoft Help Index لتنفيذ تعليمات الشيل كود المشفرة بخوارزمية RC4، والتي جرى تشغيلها لاحقًا عبر واجهة EnumDisplayMonitors WinAPI، ما مكّن المهاجمين من الوصول إلى عناوين واجهات برمجة التطبيقات وحقن العمليات.

نسخة جديدة على هيئة “شات جي بي تي” زائف

من أخطر التطورات التي رصدها الخبراء: نسخة جديدة من أداة تحميل PipeMagic ظهرت في 2025 على شكل تطبيق زائف يشبه ChatGPT، مشابهًا للأداة التي استُخدمت في هجمات 2024 ضد مؤسسات سعودية.

كلا النسختين تعتمدان على إطارَي العمل Tokio وTauri، وتستخدمان مكتبة libaes ذاتها، مع تشابه كبير في بنية الملفات وسلوك التشغيل.

تصريحات الخبراء

🔹 ليونيد بيزفيرشينكو – باحث أمني رئيسي في GReAT لدى كاسبرسكي:

“الظهور الجديد لبرمجية PipeMagic يؤكد أنها لا تزال نشطة وتواصل التطور. نسخ 2024 أظهرت تحسّنًا في قدرتها على الاستمرار داخل أنظمة الضحايا والتنقل ضمن الشبكات المستهدفة، والنسخ الأحدث تبني على هذه القدرات بمستوى أكثر تعقيدًا.”

🔹 بافيل بلينيكوف – رئيس أبحاث الثغرات الأمنية في BI.ZONE:

“شهدنا تزايدًا في استهداف المهاجمين لملف clfs.sys خلال السنوات الأخيرة، خصوصًا من قبل مجرمين يسعون وراء مكاسب مالية. استغلال ثغرات ‘اليوم الصفري’ مثل هذه يتيح لهم الحصول على صلاحيات أعلى وإخفاء أنشطتهم. لذلك نوصي المؤسسات بالاعتماد على حلول EDR لاكتشاف السلوكيات المشبوهة مبكرًا والرد عليها بفعالية.”

خلفية عن برمجية PipeMagic

  • اكتُشفت لأول مرة في 2022 أثناء حملة خبيثة مرتبطة ببرمجية الفدية RansomExx، استهدفت شركات صناعية في جنوب شرق آسيا.
  • استغل المهاجمون حينها ثغرة CVE-2017-0144 للوصول إلى البنية التحتية الداخلية.
  • يوفر الباب الخلفي وضعين للتشغيل:
    1. أداة متكاملة للوصول عن بُعد.
    2. وكيل شبكة لتنفيذ أوامر متعددة.
  • في أكتوبر 2024، اكتُشفت نسخة جديدة في هجمات على مؤسسات سعودية عبر تطبيق مزيف يحاكي ChatGPT.

📑 للاطلاع على التقرير الكامل: Securelist.com

عن كاسبرسكي

تأسست عام 1997، وهي شركة عالمية متخصصة في الأمن السيبراني والخصوصية الرقمية.

  • تحمي أكثر من مليار جهاز حول العالم.
  • تقدم محفظة حلول شاملة تشمل: حماية الأفراد، الشركات، البنية التحتية الحيوية، والحكومات.
  • تخدم نحو 200,000 عميل من الشركات وملايين الأفراد.

🌐 للمزيد: www.kaspersky.com

عن BI.ZONE

شركة رائدة في إدارة المخاطر الرقمية وتطوير حلول الأمن السيبراني المبتكرة.

  • تأسست عام 2016.
  • نفذت أكثر من 1,200 مشروع في قطاعات المال، الاتصالات، الطاقة، الطيران وغيرها.
  • توفر حماية فعّالة لأكثر من 500 عميل في 15 دولة.

🌐 للمزيد: www.bi.zone/eng

الأحدث
ديبال تستهدف التوسع الأوروبي بإطلاق عملياتها في المملكة المتحدة
الرجوع للقائمة
الأقدم هيونداي موتور ومتحف مقاطعة لوس أنجلوس للفنون يطلقان معرض “اليوم الذي يبدأ منه الغد” للفنان تافاريس ستراشان

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *