Zlonamjerni softver PipeMagic

Do Mezo. Malware, Ranjivost. godine

Prevedi na:

Istraživači su otkrili sada zakrpanu sigurnosnu ranjivost unutar Windows Common Log File System (CLFS) koja se aktivno iskorištavala kao napad nultog dana. Ovaj se propust koristio u kampanjama ransomwarea usmjerenim na određene organizacije u više industrija, uključujući IT i sektor nekretnina u Sjedinjenim Državama, financijske institucije u Venezueli, španjolsku softversku tvrtku i maloprodajne tvrtke u Saudijskoj Arabiji.

Sadržaj

Razumijevanje CVE-2025-29824

Identificirana kao CVE-2025-29824, ova ranjivost je greška u eskalaciji privilegija u CLFS-u koja napadačima omogućuje dobivanje privilegija na razini SUSTAVA. Microsoft je riješio i zakrpao problem tijekom ažuriranja Patch Tuesday u travnju 2025. Skupina kibernetičkog kriminala koja stoji iza ovih napada, praćena pod imenom Storm-2460, postavila je vrstu zlonamjernog softvera pod nazivom PipeMagic kako bi iskoristila sigurnosnu ranjivost i postavila ransomware korisni teret.

Kako se napad odvijao

Dok točna metoda početnog pristupa ostaje nepoznata, istraživači su uočili da su napadači koristili uslužni program za certificiranje za preuzimanje zlonamjernog softvera s kompromitirane web stranice treće strane. Zlonamjerni softver, prijeteća datoteka MSBuild, sadržavala je šifrirani sadržaj koji je, nakon što se izvrši, pokrenuo PipeMagic. Ovaj trojanac temeljen na dodacima, koji je aktivan od 2022., odigrao je središnju ulogu u olakšavanju napada.

Ovo nije prvi slučaj da se PipeMagic koristi u zero-day podvigima. Prethodno je zlorabio CVE-2025-24983, grešku eskalacije privilegija podsustava kernela Windows Win32. Također je povezan s napadima ransomwarea Nokoyawa koji su iskorištavali drugu CLFS zero-day ranjivost, CVE-2023-28252. Osim toga, stručnjaci za kibernetičku sigurnost izvijestili su da je u ranijim napadima pripisanim istom akteru prijetnje, PipeMagic bio implementiran kroz skriptu MSBuild prije iskorištavanja ranjivosti CLFS povećanja privilegija.

Iskorištavanje i njegov učinak

Napad je eksplicitno usmjeren na ranjivost u CLFS upravljačkom programu kernela. Iskorištavanjem oštećenja memorije i korištenjem RtlSetAllBits API-ja, napadači prepisuju token procesa iskorištavanja s 0xFFFFFFFF, dajući pune privilegije. To im omogućuje ubacivanje nesigurnih procesa u SUSTAVNE procese, učinkovito preuzimajući kontrolu nad zaraženim strojem. Nakon uspješnog iskorištavanja, akteri prijetnje izvlače korisničke vjerodajnice izbacivanjem LSASS memorije i šifriranjem sistemskih datoteka s nasumično generiranim nastavkom. Poruka o otkupnini koja sadrži TOR domenu povezanu s RansomEXX obitelji ransomwarea tada se odbacuje.

Mjere sigurnosti i obrane

Unatoč ozbiljnosti napada, Windows 11, verzija 24H2, nije pod utjecajem ovog specifičnog iskorištavanja. To je zbog sigurnosnih ograničenja postavljenih na određene klase informacija o sustavu unutar NtQuerySystemInformation, koja ograničavaju pristup korisnicima sa SeDebugPrivilege, dozvolom koja se obično daje samo administrativnim korisnicima.

Akteri ransomwarea nastavljaju davati prioritet postkompromitiranoj eskalaciji privilegija, jer im to omogućuje transformaciju početnog pristupa u širu kontrolu unutar mreže. Iskorištavanjem eksploatacija kao što je CVE-2025-29824, mogu eskalirati svoj doseg, dobiti privilegirani pristup i implementirati ransomware s razornim učinkom. Organizacije moraju ostati na oprezu, promptno primjenjivati sigurnosne zakrpe, pratiti neuobičajene aktivnosti sustava i provoditi snažne kontrole pristupa kako bi se smanjili rizici koje predstavljaju takve evoluirajuće cyber prijetnje.