មេរោគ PipeMagic

បកប្រែទៅ៖

អ្នកស្រាវជ្រាវបានរកឃើញភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដែលបានជួសជុលឥឡូវនេះនៅក្នុង Windows Common Log File System (CLFS) ដែលត្រូវបានប្រើប្រាស់យ៉ាងសកម្មជាការវាយប្រហារគ្មានថ្ងៃ។ កំហុសនេះត្រូវបានប្រើនៅក្នុងយុទ្ធនាការ ransomware ផ្តោតលើស្ថាប័នជាក់លាក់នៅទូទាំងឧស្សាហកម្មជាច្រើន រួមទាំងវិស័យព័ត៌មានវិទ្យា និងអចលនទ្រព្យនៅសហរដ្ឋអាមេរិក ស្ថាប័នហិរញ្ញវត្ថុនៅវេណេហ្ស៊ុយអេឡា ក្រុមហ៊ុនកម្មវិធីអេស្បាញ និងអាជីវកម្មលក់រាយនៅអារ៉ាប៊ីសាអូឌីត។

តារាងមាតិកា

ការយល់ដឹងអំពី CVE-2025-29824

ត្រូវបានកំណត់ថាជា CVE-2025-29824 ភាពងាយរងគ្រោះនេះគឺជាគុណវិបត្តិនៃការកើនឡើងឯកសិទ្ធិនៅក្នុង CLFS ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានសិទ្ធិកម្រិតប្រព័ន្ធ។ Microsoft បានដោះស្រាយ និងជួសជុលបញ្ហានេះកំឡុងពេលអាប់ដេត Patch Tuesday ខែមេសា ឆ្នាំ 2025។ ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលនៅពីក្រោយការវាយប្រហារទាំងនេះ ដែលត្រូវបានតាមដានក្រោមឈ្មោះ Storm-2460 បានដាក់ពង្រាយមេរោគមួយហៅថា PipeMagic ដើម្បីទាញយកភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព និងដាក់ពង្រាយ ransomware payloads ។

របៀបដែលការវាយប្រហារបានលាតត្រដាង

ខណៈពេលដែលវិធីសាស្រ្តពិតប្រាកដនៃការចូលប្រើដំបូងនៅតែមិនស្គាល់ អ្នកស្រាវជ្រាវបានសង្កេតឃើញថាអ្នកវាយប្រហារបានប្រើឧបករណ៍ប្រើប្រាស់វិញ្ញាបនបត្រដើម្បីទាញយកមេរោគពីគេហទំព័រភាគីទីបីដែលត្រូវបានសម្របសម្រួល។ មេរោគដែលជាឯកសារ MSBuild ដែលគំរាមកំហែង មានផ្ទុកបន្ទុកដែលបានអ៊ិនគ្រីប ដែលនៅពេលដែលបានប្រតិបត្តិរួច បានចាប់ផ្តើម PipeMagic ។ Trojan ដែលមានមូលដ្ឋានលើកម្មវិធីជំនួយនេះ ដែលសកម្មតាំងពីឆ្នាំ 2022 បានដើរតួនាទីសំខាន់ក្នុងការសម្របសម្រួលការវាយប្រហារ។

នេះមិនមែនជាឧទាហរណ៍ដំបូងនៃ PipeMagic ដែលត្រូវបានប្រើប្រាស់នៅក្នុងការកេងប្រវ័ញ្ចគ្មានថ្ងៃនោះទេ។ ពីមុន វាបានបំពាន CVE-2025-24983 ដែលជាកំហុសបង្កើនសិទ្ធិរបស់ប្រព័ន្ធរង Windows Win32 Kernel ។ វាក៏ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការវាយប្រហាររបស់ Nokoyawa ransomware ដែលបានទាញយកភាពងាយរងគ្រោះ CLFS zero-day មួយផ្សេងទៀត CVE-2023-28252។ លើសពីនេះទៀត អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរាយការណ៍ថានៅក្នុងការវាយប្រហារមុននេះសន្មតថាជាតួអង្គគំរាមកំហែងដូចគ្នា PipeMagic ត្រូវបានដាក់ពង្រាយតាមរយៈស្គ្រីប MSBuild មុនពេលទាញយកភាពងាយរងគ្រោះ CLFS elevation-of-privilege ។

ការកេងប្រវ័ញ្ច និងផលប៉ះពាល់របស់វា។

ការវាយប្រហារនេះកំណត់គោលដៅយ៉ាងជាក់លាក់នូវភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីបញ្ជាខឺណែល CLFS ។ ដោយការកេងប្រវ័ញ្ចអង្គចងចាំខូច និងប្រើប្រាស់ RtlSetAllBits API អ្នកវាយប្រហារសរសេរជាន់លើនិមិត្តសញ្ញានៃដំណើរការកេងប្រវ័ញ្ចជាមួយ 0xFFFFFFFF ដោយផ្តល់សិទ្ធិពេញលេញ។ នេះអនុញ្ញាតឱ្យពួកគេចាក់ដំណើរការដែលមិនមានសុវត្ថិភាពទៅក្នុងដំណើរការ SYSTEM ដោយមានប្រសិទ្ធភាពគ្រប់គ្រងម៉ាស៊ីនដែលមានមេរោគ។ បន្ទាប់ពីការកេងប្រវ័ញ្ចដោយជោគជ័យ តួអង្គគំរាមកំហែងទាញយកព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់ដោយការបោះចោលអង្គចងចាំ LSASS និងការអ៊ិនគ្រីបឯកសារប្រព័ន្ធជាមួយនឹងផ្នែកបន្ថែមដែលបង្កើតដោយចៃដន្យ។ បន្ទាប់មក កំណត់ចំណាំតម្លៃលោះដែលមានដែន TOR ដែលភ្ជាប់ទៅនឹងគ្រួសារ RansomEXX ransomware ត្រូវបានទម្លាក់។

វិធានការការពារ និងសន្តិសុខ

ទោះបីជាមានភាពធ្ងន់ធ្ងរនៃការវាយប្រហារក៏ដោយ Windows 11 កំណែ 24H2 មិនត្រូវបានប៉ះពាល់ដោយការកេងប្រវ័ញ្ចជាក់លាក់នេះទេ។ នេះគឺដោយសារតែការរឹតបន្តឹងសុវត្ថិភាពដែលដាក់លើថ្នាក់ព័ត៌មានប្រព័ន្ធជាក់លាក់នៅក្នុង NtQuerySystemInformation ដែលកំណត់ការចូលប្រើទៅកាន់អ្នកប្រើប្រាស់ដែលមាន SeDebugPrivilege ការអនុញ្ញាតជាធម្មតាត្រូវបានផ្តល់ឱ្យតែអ្នកប្រើប្រាស់រដ្ឋបាលប៉ុណ្ណោះ។

តួអង្គ Ransomware បន្តផ្តល់អាទិភាពដល់ការកើនឡើងនៃសិទ្ធិក្រោយការសម្របសម្រួល ព្រោះវាអនុញ្ញាតឱ្យពួកគេផ្លាស់ប្តូរការចូលប្រើដំបូងទៅជាការគ្រប់គ្រងកាន់តែទូលំទូលាយនៅក្នុងបណ្តាញមួយ។ តាមរយៈការប្រើប្រាស់ការកេងប្រវ័ញ្ចដូចជា CVE-2025-29824 ពួកគេអាចបង្កើនការឈានដល់របស់ពួកគេ ទទួលបានការចូលប្រើប្រាស់ដោយឯកសិទ្ធិ និងដាក់ពង្រាយ ransomware ជាមួយនឹងផលប៉ះពាល់ដ៏សាហាវ។ អង្គការត្រូវតែមានការប្រុងប្រយ័ត្ន អនុវត្តបំណះសុវត្ថិភាពភ្លាមៗ តាមដានសកម្មភាពប្រព័ន្ធមិនធម្មតា និងពង្រឹងការគ្រប់គ្រងការចូលប្រើដ៏រឹងមាំ ដើម្បីកាត់បន្ថយហានិភ័យដែលបណ្តាលមកពីការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលកំពុងវិវត្តបែបនេះ។