This post is also available in:
English (אנגלית)
חוקרי אבטחת מידע זיהו סוג חדש של נוזקה המשתמשת באפליקציית מחשב לגיטימית לכאורה, המבוססת על ChatGPT, לצורך התקנה של דלת אחורית מודולרית. דלת אחורית זו מאפשרת לתוקפים לשמור על גישה ממושכת למערכות שהותקפו. הנוזקה, שזכתה לשם PipeMagic, פועלת מתחת לרדאר תוך שימוש בארכיטקטורה מבוססת רכיבים מרובים, מה שמקשה על הגילוי והניתוח שלה.
לפי דיווח של מיקרוסופט, PipeMagic התגלתה במהלך חקירה של קמפיין תקיפה רחב יותר, שניצל את החולשהCVE-2025-29824 – פרצת הרחבת הרשאות ב- Windows Common Log File System (CLFS). למרות שמיקרוסופט פרסמה תיקון לחולשה זו באפריל 2025, מערכות רבות טרם עודכנו, מה שמשאיר אותן חשופות להתקפות.
הדלת האחורית מהווה חלק משרשרת תקיפה רחבה יותר שמופעלת על ידי קבוצת תקיפה הידועה בשם Storm-2460. קבוצה זו פרסה תוכנות כופר במספר ענפי תעשייה, כולל IT, פיננסים ונדל"ן, באזורים שונים כגון ארצות הברית, אירופה, דרום אמריקה והמזרח התיכון.
מה שמייחד את PipeMagic הוא הגישה המודולרית שלה. במקום נוזקה אחת שמבצעת את כל הפונקציות, היא מחלקת את היכולות שלה לרכיבים קטנים ונפרדים. מודול רשת נפרד אחראי לתקשורת עם שרת הפיקוד והשליטה (C2), ומאפשר לתוקפים לשלוח ולהפעיל מטענים באופן דינמי. מבנה זה מעניק גמישות רבה יותר ומסייע בהתחמקות מכלי אבטחה מסורתיים.
מיקרוסופט מדגישה כי למרות שמספר הארגונים שנפגעו כרגע נותר קטן יחסית, השילוב בין ניצול חולשת זירו-דיי לבין הפצה מודולרית של תוכנות כופר מהווה התפתחות מדאיגה. היכולת להתאים ולהרחיב איומים מסוג זה מגבירה את פוטנציאל הנזק אם אמצעי ההגנה אינם מעודכנים בזמן.
כדי לצמצם את הסיכון, מיקרוסופט ממליצה לארגונים ליישם באופן מיידי את עדכון האבטחה מאפריל 2025 עבור CVE-2025-29824. בנוסף, הפעלה של הגנות מפני שינויים והגנות רשת במערכת Microsoft Defender for Endpoint יכולה לסייע באיתור וחסימה של פעילות PipeMagic.
תקרית זו מדגישה מגמה מדאיגה של תוקפים שמשלבים בין כלים לגיטימיים לבין טכניקות מתקדמות של תקיפה — דבר שמעלה את רף האתגרים בגילוי ובתגובה בסביבות ארגוניות.
