استطاع فريق الأبحاث والتحليل العالمي (GReAT) في كاسبرسكي، بالتعاون مع خبراء أبحاث الثغرات الأمنية في شركة BI.ZONE، أن يرصد نشاطاً جديداً لبرمجية بايب ماجيك (PipeMagic) الخبيثةـ التي اكتشفت لأول مرة عام 2022 ثم عاودت الظهور في عام 2025. فقد توسعت هجمات البرمجية إلى مناطق متعددة؛ إذ رُصدت في البداية في آسيا، ثم اكتشفت لاحقاً في المملكة العربية السعودية في أواخر عام 2024. وتشير الهجمات الأخيرة إلى اهتمام متزايد باستهداف المؤسسات السعودية، فضلاً عن التوسع إلى مناطق جديدة أبرزها شركات التصنيع في البرازيل.
قام الباحثون على متابعة هذه البرمجية الخبيثة ومسار تطورها، وحددوا أبرز التغييرات في أساليب مشغليها، وأجروا تحليلاً تقنياً لثغرة مايكروسوفت المعروفة بالاسم الرمزي: CVE-2025-29824. فمن أصل121 ثغرة رصدت في شهر أبريل عام 2025، كانت هذه الثغرةُ الوحيدةَ التي استخدمت كثيراً في الهجمات السيبرانية. وقد استُهدِفت بالتحديد بأداة مدمجة في سلسلة إصابة PipeMagic. وأتاحت هذه الثغرةُ تصعيد الصلاحيات في نظام التشغيل جرّاء خلل في برنامج تشغيل سجل ملف النظام clfs.sys.
استخدمت إحدى الهجمات الجديدة في عام 2025 ملف فهرس المساعدة من مايكروسوفت (Microsoft Help Index File)، الذي يستخدم لغرضين هما: فك تشفير وتنفيذ تعليمات الشيل كود. فالشيل كود يشفر باستخدام خوارزمية RC4 (تشفير التدفق) بالترميز السداسي العشري. وبعد فك التشفير يشغل الكود عبر دالة EnumDisplayMonitors WinAPI، مما يتيح الوصول إلى عناوين واجهات برمجة التطبيقات الخاصة بالنظام عبر حقن العمليات.
بالإضافة إلى ذلك اكتشف الباحثون إصداراً جديداً مطوراً من أداة تحميل برمجية PipeMagic الخبيثة، التي كانت على هيئة تطبيق شات جي بي تي. ويشبه هذا التطبيق نظيره المستخدم سابقاً في هجمات عام 2024 على المؤسسات السعودية؛ إذ يتشاركان إطاري العمل ذاته Tokio وTauri، ويستخدمان نفس إصدار مكتبة libaes، ويتشابهان في بنية الملفات والسلوك.
يعلق على هذه المسألة «ليونيد بيزفيرشينكو»، وهو باحث أمني رئيسي في فريق GReAT لدى كاسبرسكي: «يؤكد هذا الظهور الجديد لبرمجية PipeMagic الخبيثة أنها لا تزال نشطة ومستمرة في التطور. فنسخ هذه البرمجية عام 2024 تضمنت تحسينات لتعزيز قدرتها على الاستمرار في أنظمة الضحايا، وتسهيل التنقل ضمن الشبكات المستهدفة».
كذلك يقول «بافيل بلينيكوف»، رئيس أبحاث الثغرات الأمنية في شركة BI.ZONE: «تزايد استهداف المجرمين السيبرانيين لملف clfs.sys خلال السنين الأخيرة، لا سيما المجرمين الساعين وراء مكاسب مالية. ويستغل المهاجمون ثغرات “اليوم الصفري” في هذا البرنامج التشغيلي وغيرها للحصول على صلاحيات أعلى وإخفاء الأنشطة اللاحقة للاختراق. لهذا نوصي للوقاية من هذه التهديدات باستخدام أدوات اكتشاف تهديدات النقاط الطرفية والاستجابة لها (EDR)، التي تكتشف السلوكيات المشبوهة قبل استغلال الثغرات الأمنية وبعدها».
تعرف PipeMagic بأنها برمجية باب خلفي خبيثة اكتشفتها كاسبرسكي لأول مرة عام 2022، وذلك خلال تحقيقها في حملة خبيثة مرتبطة ببرمجية الفدية RansomExx. وكان من ضحايا هذه الهجمات شركات صناعية في جنوب شرق آسيا. وقد استغل المهاجمون ثغرة CVE-2017-0144 للوصول إلى البنية التحتية الداخلية. ويقدم الباب الخلفي وضعين للتشغيل؛ إما كأداة متكاملة للوصول عن بعد وإما كوكيل شبكة، مما يتيح تنفيذ مجموعة واسعة من الأوامر. وفي أكتوبر عام 2024، اكتشفت نسخة جديدة من برمجية PipeMagic ضمن هجمات استهدفت مؤسسات في المملكة العربية السعودية، واستخدمت تطبيقاً زائفاً شبيهاً بتطبيق شات جي بي تي لخداع الضحايا والإيقاع بهم.
للإطلاع على التقرير الكامل: Securelist.com.
-انتهى-
نبذة عن كاسبرسكي:
تأسست كاسبرسكي عام 1997، وهي شركة عالمية متخصصة في مجال الأمن السيبراني والخصوصية الرقمية. وفرت الشركة حلول الحماية لأكثر من مليار جهاز من التهديدات السيبرانية الناشئة والهجمات الموجهة، وتتطور خبرة الشركة العميقة دوماً في مجال معلومات التهديدات والأمن، وهي توظف خبرتها لتقديم حلول وخدمات مبتكرة لحماية الأفراد، والشركات، والبنية التحتية الحيوية، والحكومات، حول العالم. وتقدم محفظة الحلول الأمنية الشاملة للشركة حماية رائدة لحياة رقمية على الأجهزة الشخصية، وتوفر منتجات وخدمات أمنية مخصصة للشركات، وحلول المناعة السيبرانية لمكافحة التهديدات الرقمية المعقدة والمتطورة. تقدم الشركة خدماتها لملايين الأفراد ونحو 200,000 عميل من الشركات، وتساعدهم في حماية المعلومات المهمة لديهم. لمزيد من المعلومات: www.kaspersky.com
تابعونا على:
نبذة عن BI.ZONE
تتخصص شركة BI.ZONE في إدارة المخاطر الرقمية، وتساعد المؤسسات والشركات في تطوير أعمالها بأمان ضمن الفضاء الإلكتروني. وتطور الشركة حلولاً مبتكرة تكفل بها مرونة البنية التحتية لتقنية المعلومات بأحجامها كافة. وتتضمن محفظة الشركة تشكيلة متنوعة من خدمات الأمن السيبراني مثل: التحقيق في الحوادث الأمنية، ومراقبة التهديدات، وبناء استراتيجيات آمنة، والاستعانة بخبرات خارجية لوظائف متخصصة. ونفذت الشركة منذ عام 2016 أكثر من 1,200 مشروع في القطاع المالي، والاتصالات، والطاقة، والطيران، وقطاعات أخرى، فتوفر حماية فعالة لأكثر من 500 عميل في 15 دولة. يرجى زيارة الموقع الإلكتروني لمعلومات إضافية: www.bi.zone/eng
