PipeMagic Malware

Μέχρι το Mezo το Κακόβουλο λογισμικό, Τρωτό

Μετάφραση σε:

Οι ερευνητές ανακάλυψαν μια ευπάθεια ασφαλείας που έχει πλέον επιδιορθωθεί στο Windows Common Log File System (CLFS) που χρησιμοποιήθηκε ενεργά ως επίθεση zero-day. Αυτό το ελάττωμα χρησιμοποιήθηκε σε καμπάνιες ransomware που στοχεύουν συγκεκριμένους οργανισμούς σε πολλούς κλάδους, συμπεριλαμβανομένων των τομέων πληροφορικής και ακινήτων στις Ηνωμένες Πολιτείες, χρηματοπιστωτικά ιδρύματα στη Βενεζουέλα, μια ισπανική εταιρεία λογισμικού και επιχειρήσεις λιανικής στη Σαουδική Αραβία.

Πίνακας περιεχομένων

Κατανόηση του CVE-2025-29824

Αναγνωρισμένο ως CVE-2025-29824, αυτή η ευπάθεια είναι ένα ελάττωμα κλιμάκωσης προνομίων στο CLFS που επιτρέπει στους εισβολείς να αποκτήσουν προνόμια σε επίπεδο ΣΥΣΤΗΜΑΤΟΣ. Η Microsoft αντιμετώπισε και επιδιορθώθηκε το ζήτημα κατά την ενημέρωση του Απριλίου 2025 Patch Tuesday. Η κυβερνοεγκληματική ομάδα πίσω από αυτές τις επιθέσεις, η οποία παρακολουθείται με το όνομα Storm-2460, ανέπτυξε ένα στέλεχος κακόβουλου λογισμικού που ονομάζεται PipeMagic για να εκμεταλλευτεί την ευπάθεια ασφαλείας και να αναπτύξει ωφέλιμα φορτία ransomware.

Πώς εκτυλίχθηκε η επίθεση

Ενώ η ακριβής μέθοδος αρχικής πρόσβασης παραμένει άγνωστη, οι ερευνητές παρατήρησαν ότι οι εισβολείς χρησιμοποίησαν το βοηθητικό πρόγραμμα πιστοποίησης για να κατεβάσουν κακόβουλο λογισμικό από έναν παραβιασμένο ιστότοπο τρίτων. Το κακόβουλο λογισμικό, ένα απειλητικό αρχείο MSBuild, περιείχε ένα κρυπτογραφημένο ωφέλιμο φορτίο που, μόλις εκτελεστεί, ξεκίνησε το PipeMagic. Αυτό το Trojan που βασίζεται σε πρόσθετα, το οποίο είναι ενεργό από το 2022, έπαιξε κεντρικό ρόλο στη διευκόλυνση της επίθεσης.

Αυτή δεν είναι η πρώτη περίπτωση του PipeMagic που χρησιμοποιείται σε zero-day exploit. Προηγουμένως, έκανε κατάχρηση του CVE-2025-24983, ένα ελάττωμα κλιμάκωσης προνομίων του υποσυστήματος πυρήνα των Windows Win32. Έχει επίσης συσχετιστεί με επιθέσεις ransomware Nokoyawa που εκμεταλλεύτηκαν μια άλλη ευπάθεια CLFS zero-day, το CVE-2023-28252. Επιπλέον, ειδικοί στον τομέα της κυβερνοασφάλειας ανέφεραν ότι σε προηγούμενες επιθέσεις που αποδίδονταν στον ίδιο παράγοντα απειλής, το PipeMagic αναπτύχθηκε μέσω ενός σεναρίου MSBuild πριν από την εκμετάλλευση της ευπάθειας CLFS elevation of-privilege.

Η εκμετάλλευση και ο αντίκτυπός της

Η επίθεση στοχεύει ρητά μια ευπάθεια στο πρόγραμμα οδήγησης πυρήνα CLFS. Εκμεταλλευόμενοι την καταστροφή της μνήμης και χρησιμοποιώντας το RtlSetAllBits API, οι εισβολείς αντικαθιστούν το διακριτικό της διαδικασίας εκμετάλλευσης με 0xFFFFFFFF, παραχωρώντας πλήρη δικαιώματα. Αυτό τους επιτρέπει να εισάγουν μη ασφαλείς διεργασίες στις διεργασίες SYSTEM, παίρνοντας ουσιαστικά τον έλεγχο του μολυσμένου μηχανήματος. Μετά την επιτυχή εκμετάλλευση, οι φορείς απειλών εξάγουν τα διαπιστευτήρια χρήστη απορρίπτοντας τη μνήμη LSASS και κρυπτογραφώντας τα αρχεία συστήματος με μια τυχαία δημιουργημένη επέκταση. Στη συνέχεια απορρίπτεται ένα σημείωμα λύτρων που περιέχει έναν τομέα TOR που είναι συνδεδεμένος με την οικογένεια ransomware RansomEXX.

Μέτρα Ασφαλείας και Άμυνας

Παρά τη σοβαρότητα της επίθεσης, τα Windows 11, έκδοση 24H2, δεν επηρεάζονται από τη συγκεκριμένη εκμετάλλευση. Αυτό οφείλεται σε περιορισμούς ασφαλείας που τίθενται σε συγκεκριμένες κλάσεις πληροφοριών συστήματος εντός του NtQuerySystemInformation, οι οποίοι περιορίζουν την πρόσβαση σε χρήστες με SeDebugPrivilege, άδεια που συνήθως χορηγείται μόνο σε διαχειριστές χρήστες.

Οι φορείς ransomware συνεχίζουν να δίνουν προτεραιότητα στην κλιμάκωση των προνομίων μετά τον συμβιβασμό, καθώς τους επιτρέπει να μετατρέψουν την αρχική πρόσβαση σε ευρύτερο έλεγχο εντός ενός δικτύου. Αξιοποιώντας εκμεταλλεύσεις όπως το CVE-2025-29824, μπορούν να κλιμακώσουν την απήχησή τους, να αποκτήσουν προνομιακή πρόσβαση και να αναπτύξουν ransomware με καταστροφικό αντίκτυπο. Οι οργανισμοί πρέπει να παραμείνουν σε επαγρύπνηση, να εφαρμόζουν έγκαιρα ενημερώσεις κώδικα ασφαλείας, να παρακολουθούν για ασυνήθιστη δραστηριότητα του συστήματος και να επιβάλλουν ισχυρούς ελέγχους πρόσβασης για να μειώσουν τους κινδύνους που ενέχουν τέτοιες εξελισσόμενες απειλές στον κυβερνοχώρο.