PipeMagic 맬웨어

멀웨어, 취약성년에 Mezo 년까지

번역 :

연구원들은 윈도우 공용 로그 파일 시스템(CLFS)에서 제로데이 공격으로 활발하게 악용되었던 보안 취약점을 발견했습니다. 이 취약점은 미국의 IT 및 부동산 부문, 베네수엘라의 금융 기관, 스페인 소프트웨어 회사, 사우디아라비아의 소매업체 등 여러 산업 분야의 특정 조직을 표적으로 삼는 랜섬웨어 공격에 사용되었습니다.

CVE-2025-29824 이해하기

CVE-2025-29824로 식별된 이 취약점은 CLFS의 권한 상승 취약점으로, 공격자가 시스템 수준의 권한을 획득할 수 있도록 합니다. Microsoft는 2025년 4월 패치 화요일 업데이트를 통해 이 문제를 해결하고 패치했습니다. Storm-2460이라는 이름으로 추적되는 이 공격의 배후에 있는 사이버 범죄 조직은 PipeMagic이라는 악성코드 변종을 배포하여 보안 취약점을 악용하고 랜섬웨어 페이로드를 배포했습니다.

공격이 전개된 방식

정확한 초기 접근 방법은 아직 밝혀지지 않았지만, 연구원들은 공격자가 cert 유틸리티를 사용하여 감염된 타사 웹사이트에서 맬웨어를 다운로드했다는 사실을 발견했습니다. 위협적인 MSBuild 파일인 이 맬웨어는 암호화된 페이로드를 포함하고 있었으며, 실행되면 PipeMagic을 실행합니다. 2022년부터 활동해 온 이 플러그인 기반 트로이 목마는 이 공격을 촉진하는 데 핵심적인 역할을 했습니다.

PipeMagic이 제로데이 공격에 사용된 것은 이번이 처음이 아닙니다. 이전에는 Windows Win32 커널 하위 시스템 권한 상승 취약점인 CVE-2025-24983을 악용했습니다. 또한, 또 다른 CLFS 제로데이 취약점인 CVE-2023-28252를 악용한 Nokoyawa 랜섬웨어 공격과도 관련이 있었습니다. 또한, 사이버 보안 전문가들은 동일한 위협 행위자가 저지른 이전 공격에서 PipeMagic이 CLFS 권한 상승 취약점을 악용하기 전에 MSBuild 스크립트를 통해 배포되었다고 보고했습니다.

착취와 그 영향

이 공격은 CLFS 커널 드라이버의 취약점을 노립니다. 메모리 손상을 악용하고 RtlSetAllBits API를 활용하여 공격자는 악용 프로세스의 토큰을 0xFFFFFFFF로 덮어쓰고 모든 권한을 부여합니다. 이를 통해 안전하지 않은 프로세스를 SYSTEM 프로세스에 주입하여 감염된 시스템을 효과적으로 제어할 수 있습니다. 악용에 성공하면 위협 행위자는 LSASS 메모리를 덤프하고 무작위로 생성된 확장자로 시스템 파일을 암호화하여 사용자 자격 증명을 추출합니다. 그런 다음 RansomEXX 랜섬웨어 계열과 연결된 TOR 도메인이 포함된 랜섬 노트를 삭제합니다.

보안 조치 및 방어

공격의 심각성에도 불구하고 Windows 11 버전 24H2는 이 특정 악용 사례에 영향을 받지 않습니다. 이는 NtQuerySystemInformation 내의 특정 시스템 정보 클래스에 적용된 보안 제한으로 인해 발생하며, 이 제한은 일반적으로 관리자에게만 부여되는 SeDebugPrivilege 권한을 가진 사용자의 접근을 제한합니다.

랜섬웨어 공격자들은 침해 후 권한 상승을 계속해서 우선시합니다. 이는 초기 접근 권한을 네트워크 내 더 광범위한 제어로 전환할 수 있기 때문입니다. CVE-2025-29824와 같은 익스플로잇을 활용함으로써 랜섬웨어는 공격 범위를 확대하고, 권한 있는 접근 권한을 획득하며, 파괴적인 영향을 미치는 랜섬웨어를 배포할 수 있습니다. 조직은 경계를 늦추지 않고, 보안 패치를 신속하게 적용하고, 비정상적인 시스템 활동을 모니터링하며, 강력한 접근 제어를 시행하여 진화하는 사이버 위협으로 인한 위험을 줄여야 합니다.