PipeMagic Malware

গবেষকরা উইন্ডোজ কমন লগ ফাইল সিস্টেম (CLFS) এর মধ্যে একটি নতুন প্যাচ করা নিরাপত্তা দুর্বলতা আবিষ্কার করেছেন যা সক্রিয়ভাবে জিরো-ডে আক্রমণ হিসাবে কাজে লাগানো হয়েছিল। এই ত্রুটিটি মার্কিন যুক্তরাষ্ট্রের আইটি এবং রিয়েল এস্টেট সেক্টর, ভেনেজুয়েলার আর্থিক প্রতিষ্ঠান, একটি স্প্যানিশ সফটওয়্যার কোম্পানি এবং সৌদি আরবের খুচরা ব্যবসা সহ একাধিক শিল্পের নির্দিষ্ট সংস্থাগুলিকে লক্ষ্য করে র‍্যানসমওয়্যার প্রচারণায় ব্যবহৃত হয়েছিল।

CVE-2025-29824 বোঝা

CVE-2025-29824 হিসেবে চিহ্নিত এই দুর্বলতা হল CLFS-এর একটি বিশেষাধিকার বৃদ্ধির ত্রুটি যা আক্রমণকারীদের SYSTEM-স্তরের বিশেষাধিকার পেতে সাহায্য করে। মাইক্রোসফ্ট এপ্রিল 2025 প্যাচ মঙ্গলবার আপডেটের সময় এই সমস্যাটি সমাধান করেছে এবং প্যাচ করেছে। Storm-2460 নামে ট্র্যাক করা এই আক্রমণের পিছনে থাকা সাইবার অপরাধী গোষ্ঠীটি নিরাপত্তা দুর্বলতাকে কাজে লাগাতে এবং র‍্যানসমওয়্যার পেলোড স্থাপন করার জন্য PipeMagic নামে একটি ম্যালওয়্যার স্ট্রেন মোতায়েন করেছে।

আক্রমণ কীভাবে প্রকাশিত হয়েছিল

প্রাথমিক অ্যাক্সেসের সঠিক পদ্ধতিটি অজানা থাকলেও, গবেষকরা লক্ষ্য করেছেন যে আক্রমণকারীরা একটি তৃতীয় পক্ষের ওয়েবসাইট থেকে ম্যালওয়্যার ডাউনলোড করার জন্য সার্টিফিকেট ইউটিলিটি ব্যবহার করেছিল। ম্যালওয়্যারটি, একটি হুমকিস্বরূপ MSBuild ফাইল, একটি এনক্রিপ্টেড পেলোড ছিল যা একবার কার্যকর করার পরে, PipeMagic চালু করেছিল। এই প্লাগইন-ভিত্তিক ট্রোজান, যা 2022 সাল থেকে সক্রিয়, আক্রমণটিকে সহজতর করার ক্ষেত্রে কেন্দ্রীয় ভূমিকা পালন করেছিল।

জিরো-ডে এক্সপ্লোইটে পাইপম্যাজিক ব্যবহারের এটিই প্রথম ঘটনা নয়। এর আগেও এটি CVE-2025-24983 অপব্যবহার করেছিল, যা একটি Windows Win32 কার্নেল সাবসিস্টেম প্রিভিলেজ এসকেলেশন ত্রুটি। এটি নোকোয়াওয়া র‍্যানসমওয়্যার আক্রমণের সাথেও যুক্ত ছিল যা আরেকটি CLFS জিরো-ডে দুর্বলতা, CVE-2023-28252 ব্যবহার করেছিল। উপরন্তু, সাইবার নিরাপত্তা বিশেষজ্ঞরা জানিয়েছেন যে একই হুমকির জন্য দায়ী পূর্ববর্তী আক্রমণগুলিতে, CLFS এলিভেশন-অফ-প্রিভিলেজ দুর্বলতা কাজে লাগানোর আগে পাইপম্যাজিক একটি MSBuild স্ক্রিপ্টের মাধ্যমে ব্যবহার করা হয়েছিল।

শোষণ এবং এর প্রভাব

এই আক্রমণটি স্পষ্টতই CLFS কার্নেল ড্রাইভারের দুর্বলতাকে লক্ষ্য করে। মেমোরি দুর্নীতি কাজে লাগিয়ে এবং RtlSetAllBits API ব্যবহার করে, আক্রমণকারীরা এক্সপ্লাইট প্রক্রিয়ার টোকেনকে 0xFFFFFFFFF দিয়ে ওভাররাইট করে, সম্পূর্ণ সুবিধা প্রদান করে। এটি তাদের SYSTEM প্রক্রিয়াগুলিতে অনিরাপদ প্রক্রিয়াগুলি ইনজেক্ট করতে দেয়, কার্যকরভাবে সংক্রামিত মেশিনের নিয়ন্ত্রণ নেয়। সফল শোষণের পরে, হুমকি অভিনেতারা LSASS মেমরি ডাম্প করে এবং এলোমেলোভাবে তৈরি এক্সটেনশনের মাধ্যমে সিস্টেম ফাইলগুলি এনক্রিপ্ট করে ব্যবহারকারীর শংসাপত্রগুলি বের করে। RansomEXX র‍্যানসমওয়্যার পরিবারের সাথে লিঙ্ক করা একটি TOR ডোমেন সম্বলিত একটি মুক্তিপণ নোট বাদ দেওয়া হয়।

নিরাপত্তা ব্যবস্থা এবং প্রতিরক্ষা

আক্রমণের তীব্রতা সত্ত্বেও, Windows 11, সংস্করণ 24H2, এই নির্দিষ্ট ব্যবহারের দ্বারা প্রভাবিত হয় না। এটি NtQuerySystemInformation-এর মধ্যে নির্দিষ্ট সিস্টেম তথ্য ক্লাসের উপর আরোপিত নিরাপত্তা বিধিনিষেধের কারণে, যা SeDebugPrivilege ব্যবহারকারীদের অ্যাক্সেস সীমিত করে, সাধারণত শুধুমাত্র প্রশাসনিক ব্যবহারকারীদের অনুমতি দেওয়া হয়।

র‍্যানসমওয়্যারের সাথে জড়িতরা আপোষ-পরবর্তী বিশেষাধিকার বৃদ্ধিকে অগ্রাধিকার দিয়ে চলেছে, কারণ এটি তাদের নেটওয়ার্কের মধ্যে প্রাথমিক অ্যাক্সেসকে বৃহত্তর নিয়ন্ত্রণে রূপান্তরিত করতে সক্ষম করে। CVE-2025-29824 এর মতো সুবিধাগুলি ব্যবহার করে, তারা তাদের নাগাল বৃদ্ধি করতে পারে, বিশেষাধিকার অ্যাক্সেস অর্জন করতে পারে এবং ধ্বংসাত্মক প্রভাব সহ র‍্যানসমওয়্যার স্থাপন করতে পারে। সংস্থাগুলিকে সতর্ক থাকতে হবে, অবিলম্বে সুরক্ষা প্যাচ প্রয়োগ করতে হবে, অস্বাভাবিক সিস্টেম কার্যকলাপের জন্য নজরদারি করতে হবে এবং এই ধরনের ক্রমবর্ধমান সাইবার হুমকির ঝুঁকি কমাতে শক্তিশালী অ্যাক্সেস নিয়ন্ত্রণ প্রয়োগ করতে হবে।

PipeMagic Malware ভিডিও

টিপ: আপনার সাউন্ড চালু করুন এবং পূর্ণ স্ক্রীন মোডে ভিডিওটি দেখুন ।