PipeMagic Malware
शोधकर्ताओं ने विंडोज कॉमन लॉग फाइल सिस्टम (CLFS) में एक सुरक्षा भेद्यता का पता लगाया है, जिसे अब पैच कर दिया गया है, जिसका जीरो-डे अटैक के रूप में सक्रिय रूप से शोषण किया गया था। इस दोष का उपयोग कई उद्योगों में विशिष्ट संगठनों को लक्षित करने वाले रैनसमवेयर अभियानों में किया गया था, जिसमें संयुक्त राज्य अमेरिका में आईटी और रियल एस्टेट क्षेत्र, वेनेजुएला में वित्तीय संस्थान, एक स्पेनिश सॉफ्टवेयर कंपनी और सऊदी अरब में खुदरा व्यवसाय शामिल हैं।
विषयसूची
CVE-2025-29824 को समझना
CVE-2025-29824 के रूप में पहचानी गई यह भेद्यता CLFS में एक विशेषाधिकार वृद्धि दोष है जो हमलावरों को सिस्टम-स्तर के विशेषाधिकार प्राप्त करने की अनुमति देता है। Microsoft ने अप्रैल 2025 पैच मंगलवार अपडेट के दौरान इस समस्या को संबोधित किया और पैच किया। इन हमलों के पीछे साइबर अपराधी समूह, जिसे स्टॉर्म-2460 नाम से ट्रैक किया गया था, ने सुरक्षा भेद्यता का फायदा उठाने और रैनसमवेयर पेलोड को तैनात करने के लिए PipeMagic नामक एक मैलवेयर स्ट्रेन को तैनात किया।
हमला कैसे हुआ?
हालांकि शुरुआती एक्सेस का सटीक तरीका अज्ञात है, लेकिन शोधकर्ताओं ने पाया कि हमलावरों ने तीसरे पक्ष की वेबसाइट से मैलवेयर डाउनलोड करने के लिए सर्ट यूटिलिटी का इस्तेमाल किया। मैलवेयर, एक ख़तरनाक MSBuild फ़ाइल, में एक एन्क्रिप्टेड पेलोड था, जिसे निष्पादित करने के बाद, PipeMagic लॉन्च किया गया। 2022 से सक्रिय इस प्लगइन-आधारित ट्रोजन ने हमले को सुविधाजनक बनाने में केंद्रीय भूमिका निभाई।
पाइपमैजिक का जीरो-डे एक्सप्लॉइट में इस्तेमाल होने का यह पहला उदाहरण नहीं है। इससे पहले, इसने CVE-2025-24983 का दुरुपयोग किया था, जो कि विंडोज विन32 कर्नेल सबसिस्टम विशेषाधिकार वृद्धि दोष है। यह नोकोयावा रैनसमवेयर हमलों से भी जुड़ा हुआ है, जिसने एक अन्य CLFS जीरो-डे भेद्यता, CVE-2023-28252 का शोषण किया था। इसके अतिरिक्त, साइबर सुरक्षा विशेषज्ञों ने बताया कि उसी खतरे वाले अभिनेता के लिए जिम्मेदार पहले के हमलों में, CLFS विशेषाधिकार उन्नयन भेद्यता का शोषण करने से पहले पाइपमैजिक को MSBuild स्क्रिप्ट के माध्यम से तैनात किया गया था।
शोषण और उसका प्रभाव
यह हमला स्पष्ट रूप से CLFS कर्नेल ड्राइवर में एक भेद्यता को लक्षित करता है। मेमोरी भ्रष्टाचार का फायदा उठाकर और RtlSetAllBits API का उपयोग करके, हमलावर शोषण प्रक्रिया के टोकन को 0xFFFFFFFF से अधिलेखित कर देते हैं, जिससे उन्हें पूर्ण विशेषाधिकार मिल जाते हैं। इससे उन्हें सिस्टम प्रक्रियाओं में असुरक्षित प्रक्रियाओं को इंजेक्ट करने की अनुमति मिलती है, जिससे संक्रमित मशीन पर प्रभावी रूप से नियंत्रण हो जाता है। सफल शोषण के बाद, खतरा पैदा करने वाले अभिनेता LSASS मेमोरी को डंप करके और बेतरतीब ढंग से उत्पन्न एक्सटेंशन के साथ सिस्टम फ़ाइलों को एन्क्रिप्ट करके उपयोगकर्ता क्रेडेंशियल निकालते हैं। फिर RansomEXX रैनसमवेयर परिवार से जुड़े TOR डोमेन वाले एक फिरौती नोट को गिरा दिया जाता है।
सुरक्षा उपाय और बचाव
हमले की गंभीरता के बावजूद, Windows 11, संस्करण 24H2, इस विशिष्ट शोषण से प्रभावित नहीं है। यह NtQuerySystemInformation के भीतर विशेष सिस्टम सूचना वर्गों पर लगाए गए सुरक्षा प्रतिबंधों के कारण है, जो SeDebugPrivilege वाले उपयोगकर्ताओं तक पहुँच को सीमित करते हैं, यह अनुमति आमतौर पर केवल प्रशासनिक उपयोगकर्ताओं को दी जाती है।
रैनसमवेयर अभिनेता समझौता-पश्चात विशेषाधिकार वृद्धि को प्राथमिकता देना जारी रखते हैं, क्योंकि यह उन्हें नेटवर्क के भीतर प्रारंभिक पहुँच को व्यापक नियंत्रण में बदलने में सक्षम बनाता है। CVE-2025-29824 जैसे शोषण का लाभ उठाकर, वे अपनी पहुँच बढ़ा सकते हैं, विशेषाधिकार प्राप्त पहुँच प्राप्त कर सकते हैं, और विनाशकारी प्रभाव के साथ रैनसमवेयर तैनात कर सकते हैं। संगठनों को सतर्क रहना चाहिए, सुरक्षा पैच को तुरंत लागू करना चाहिए, असामान्य सिस्टम गतिविधि की निगरानी करनी चाहिए, और ऐसे उभरते साइबर खतरों से उत्पन्न जोखिमों को कम करने के लिए मजबूत पहुँच नियंत्रण लागू करना चाहिए।
PipeMagic Malware वीडियो
युक्ति: अपनी ध्वनि चालू करें और वीडियो को पूर्ण स्क्रीन मोड में देखें ।
