أكّدت شركة مايكروسوفت أن مجموعة تهديد تُعرف باسم Storm-2460 استغلت ثغرة من نوع يوم الصفر (Zero-day) في نظام ملفات السجل العام (CLFS) في أنظمة تشغيل Windows، لتنفيذ سلسلة من هجمات الفدية (Ransomware)، من بينها استهداف مباشر لقطاع التجزئة في المملكة العربية السعودية.
بحسب ما جاء في تقرير Microsoft Threat Intelligence ، فإن هذه الهجمات استهدفت أيضًا قطاعات في الولايات المتحدة وفنزويلا وإسبانيا، وجاء في التقرير:
“The targets include organizations in the information technology (IT) and real estate sectors of the United States, the financial sector in Venezuela, a Spanish software company, and the retail sector in Saudi Arabia.”
— Microsoft Threat Intelligence,
الثغرة التي تحمل معرف CVE-2025-29824 تُصنَّف كـ ثغرة تصعيد امتيازات (Elevation of Privilege) وتسمح للمهاجم الذي يمتلك صلاحيات مستخدم عادي بالحصول على صلاحيات أعلى في النظام، ما يُمكّنه من تنفيذ برمجيات خبيثة والتحكم الكامل في الأجهزة المصابة.
استخدام البرمجية الخبيثة PipeMagic
ووفقًا لما ورد في التقرير ذاته، تم تنفيذ الهجوم من خلال تحميل برمجية خبيثة تُدعى PipeMagic، سبق أن استُخدمت في هجمات في آسيا والسعودية في عام 2024، وتم توزيعها هذه المرة باستخدام أداة certutil بعد استغلال مواقع شرعية تم اختراقها. وأكدت Microsoft أن نفس المجموعة استغلت هذه الثغرة لنشر برمجيات فدية بشكل واسع داخل البيئات المستهدفة.
الأنظمة المتأثرة
مايكروسوفت أوضحت أن الأنظمة العاملة بإصدار Windows 11 نسخة 24H2 غير متأثرة بالنشاط الخبيث، حتى في حال وجود الثغرة بها، بفضل تغييرات متعلقة بصلاحيات الوصول إلى بعض مكونات النظام.
التوصيات والحلول من Microsoft
نشرت مايكروسوفت تحديثًا أمنيًا عاجلًا بتاريخ 8 أبريل 2025 لمعالجة الثغرة، وأوصت باتباع الإجراءات التالية:
- تحديث الأنظمة فورًا لسد الثغرة CVE-2025-29824.
- تفعيل الحماية السحابية في Microsoft Defender Antivirus أو ما يعادلها.
- استخدام اكتشاف الأجهزة لضم الأجهزة غير المدارة إلى Microsoft Defender for Endpoint.
- تشغيل وضع الحظر (Block Mode) في EDR لتعطيل الأثر الخبيث حتى عند استخدام مضاد فيروسات غير تابع لمايكروسوفت.
- تفعيل الاستجابة المؤتمتة الكاملة (Automated Investigation and Remediation).
- تشغيل قواعد تقليل مساحة الهجوم (ASR Rules) لمكافحة تقنيات الهجوم الشائعة في هجمات الفدية.
- الاستفادة من قدرات Microsoft Security Copilot للتحليل والاستجابة التلقائية للهجمات.
- استخدام تحليلات Microsoft Sentinel لمطابقة مؤشرات التهديد مع بيانات الشبكة وتحليل الأنشطة المشبوهة.
مؤشرات الاختراق (IOCs)
| النوع | المؤشر |
|---|---|
| ملف | C:\ProgramData\SkyPDF\PDUDrv.blf |
| اسم عملية | dllhost.exe --do |
| دومين | aaaaabbbbbbb.eastus.cloudapp.azure[.]com |
| ملاحظة الفدية | !_READ_ME_REXX2_!.txt |
