بدافزار PipeMagic

محققان یک آسیب‌پذیری امنیتی وصله‌شده را در سیستم فایل گزارش مشترک ویندوز (CLFS) کشف کرده‌اند که به طور فعال به عنوان یک حمله روز صفر مورد سوء استفاده قرار می‌گرفت. این نقص در کمپین‌های باج‌افزاری که سازمان‌های خاصی را در صنایع مختلف، از جمله بخش‌های فناوری اطلاعات و املاک در ایالات متحده، مؤسسات مالی در ونزوئلا، یک شرکت نرم‌افزاری اسپانیایی و کسب‌وکارهای خرده‌فروشی در عربستان سعودی هدف قرار می‌دهند، استفاده شد.

درک CVE-2025-29824

این آسیب‌پذیری که به‌عنوان CVE-2025-29824 شناخته می‌شود، یک نقص افزایش امتیاز در CLFS است که به مهاجمان اجازه می‌دهد امتیازات سطح سیستم را به دست آورند. مایکروسافت در به‌روزرسانی پچ سه‌شنبه آوریل ۲۰۲۵ به این مشکل پرداخته و آن را اصلاح کرد. گروه مجرم سایبری پشت این حملات، که تحت نام Storm-2460 ردیابی می‌شوند، یک بدافزار به نام PipeMagic را برای سوء استفاده از آسیب‌پذیری امنیتی و استقرار بارهای باج‌افزار مستقر کرده است.

چگونه حمله آشکار شد

در حالی که روش دقیق دسترسی اولیه ناشناخته باقی مانده است، محققان مشاهده کردند که مهاجمان از ابزار گواهی برای دانلود بدافزار از یک وب سایت شخص ثالث در معرض خطر استفاده کردند. این بدافزار، یک فایل تهدیدکننده MSBuild، حاوی یک محموله رمزگذاری شده بود که پس از اجرا، PipeMagic را راه اندازی کرد. این تروجان مبتنی بر پلاگین که از سال 2022 فعال بوده، نقش اصلی را در تسهیل حمله ایفا کرده است.

این اولین نمونه از PipeMagic نیست که در اکسپلویت های روز صفر استفاده می شود. قبلاً از CVE-2025-24983، یک نقص در افزایش امتیاز زیرسیستم هسته ویندوز 32 سوء استفاده می کرد. همچنین با حملات باج‌افزار Nokoyawa مرتبط است که از آسیب‌پذیری روز صفر دیگر CLFS، CVE-2023-28252، سوء استفاده کرده است. علاوه بر این، کارشناسان امنیت سایبری گزارش دادند که در حملات قبلی منتسب به همان عامل تهدید، PipeMagic از طریق یک اسکریپت MSBuild قبل از سوء استفاده از آسیب‌پذیری CLFS استفاده شده است.

بهره برداری و تاثیر آن

این حمله به صراحت یک آسیب پذیری در درایور هسته CLFS را هدف قرار می دهد. با سوء استفاده از خرابی حافظه و استفاده از RtlSetAllBits API، مهاجمان توکن فرآیند اکسپلویت را با 0xFFFFFFFF بازنویسی می‌کنند و امتیازات کامل را اعطا می‌کنند. این به آنها اجازه می دهد تا فرآیندهای ناامن را به فرآیندهای SYSTEM تزریق کنند و به طور موثر کنترل دستگاه آلوده را در دست بگیرند. پس از بهره‌برداری موفقیت‌آمیز، عوامل تهدید با تخلیه حافظه LSASS و رمزگذاری فایل‌های سیستم با پسوندی که به‌طور تصادفی تولید می‌شود، اعتبار کاربری را استخراج می‌کنند. سپس یک یادداشت باج حاوی یک دامنه TOR مرتبط با خانواده باج افزار RansomEXX حذف می شود.

تدابیر امنیتی و دفاعی

با وجود شدت حمله، ویندوز 11، نسخه 24H2، تحت تأثیر این سوء استفاده خاص قرار نگرفته است. این به دلیل محدودیت‌های امنیتی است که بر روی کلاس‌های اطلاعات سیستم خاص در NtQuerySystemInformation اعمال می‌شود، که دسترسی به کاربران دارای SeDebugPrivilege را محدود می‌کند، مجوزی که معمولاً فقط به کاربران اداری داده می‌شود.

بازیگران باج افزار همچنان به افزایش امتیازات پس از سازش اولویت می دهند، زیرا آنها را قادر می سازد دسترسی اولیه را به کنترل گسترده تری در یک شبکه تبدیل کنند. با استفاده از اکسپلویت‌هایی مانند CVE-2025-29824، آنها می‌توانند دامنه دسترسی خود را افزایش دهند، دسترسی ممتازی به دست آورند و باج‌افزاری را با تأثیر مخرب مستقر کنند. سازمان‌ها باید مراقب باشند، وصله‌های امنیتی را به‌سرعت اعمال کنند، بر فعالیت‌های غیرعادی سیستم نظارت کنند، و کنترل‌های دسترسی قوی را برای کاهش خطرات ناشی از چنین تهدیدات سایبری در حال تحول اعمال کنند.

بدافزار PipeMagic ویدیو

نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .