„PipeMagic“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa, Pažeidžiamumas

Versti į:

Tyrėjai atskleidė dabar pataisytą „Windows Common Log File System“ (CLFS) saugos pažeidžiamumą, kuris buvo aktyviai naudojamas kaip nulinės dienos ataka. Šis trūkumas buvo naudojamas išpirkos reikalaujančiose kampanijose, skirtose konkrečioms organizacijoms įvairiose pramonės šakose, įskaitant IT ir nekilnojamojo turto sektorius JAV, finansų institucijas Venesueloje, Ispanijos programinės įrangos įmonę ir mažmeninės prekybos įmones Saudo Arabijoje.

Turinys

CVE-2025-29824 supratimas

Šis pažeidžiamumas, identifikuotas kaip CVE-2025-29824, yra CLFS privilegijų eskalavimo trūkumas, leidžiantis užpuolikams gauti SISTEMOS lygio privilegijas. „Microsoft“ išsprendė ir pataisė problemą per 2025 m. balandžio mėn. pataisų antradienio atnaujinimą. Šias atakas užėmusi kibernetinių nusikaltėlių grupė, sekama pavadinimu Storm-2460, įdiegė kenkėjiškų programų padermę, pavadintą PipeMagic, kad išnaudotų saugos pažeidžiamumą ir diegtų išpirkos reikalaujančias programas.

Kaip prasidėjo puolimas

Nors tikslus pradinės prieigos metodas lieka nežinomas, mokslininkai pastebėjo, kad užpuolikai naudojo sertifikavimo programą, norėdami atsisiųsti kenkėjišką programą iš pažeistos trečiosios šalies svetainės. Kenkėjiška programinė įranga, grėsmingas MSBuild failas, turėjo užšifruotą naudingą apkrovą, kuri, kai ji buvo vykdoma, paleido PipeMagic. Šis įskiepiu pagrįstas Trojos arklys, kuris veikia nuo 2022 m., atliko pagrindinį vaidmenį palengvinant ataką.

Tai ne pirmas atvejis, kai „PipeMagic“ naudojamas nulinės dienos išnaudojimuose. Anksčiau jis piktnaudžiavo CVE-2025-24983, „Windows Win32“ branduolio posistemio privilegijų eskalavimo trūkumu. Jis taip pat buvo siejamas su „Nokoyawa“ išpirkos reikalaujančiomis programomis, kurios išnaudojo kitą CLFS nulinės dienos pažeidžiamumą CVE-2023-28252. Be to, kibernetinio saugumo ekspertai pranešė, kad ankstesnėse atakose, kurios buvo priskirtos tam pačiam grėsmės veikėjui, „PipeMagic“ buvo įdiegta naudojant MSBuild scenarijų prieš išnaudojant CLFS privilegijų padidinimo pažeidžiamumą.

Eksploatavimas ir jo poveikis

Ataka aiškiai nukreipta į CLFS branduolio tvarkyklės pažeidžiamumą. Išnaudodami atminties pažeidimus ir naudodami RtlSetAllBits API, užpuolikai perrašo išnaudojimo proceso prieigos raktą 0xFFFFFFFF, suteikdami visas privilegijas. Tai leidžia jiems įtraukti nesaugius procesus į SISTEMOS procesus, veiksmingai perimant užkrėsto įrenginio kontrolę. Po sėkmingo išnaudojimo grėsmės veikėjai ištraukia vartotojo kredencialus išmesdami LSASS atmintį ir užšifruodami sistemos failus su atsitiktinai sugeneruotu plėtiniu. Tada atmetamas išpirkos laiškas, kuriame yra TOR domenas, susietas su RansomEXX išpirkos programų šeima.

Saugumo priemonės ir gynyba

Nepaisant atakos sunkumo, „Windows 11“, 24H2 versija, šis konkretus išnaudojimas neturi įtakos. Taip yra dėl saugumo apribojimų, taikomų tam tikroms sistemos informacijos klasėms sistemoje „NtQuerySystemInformation“, kurios riboja prieigą prie „SeDebugPrivilege“ turinčių naudotojų, kurie paprastai suteikiami tik administraciniams vartotojams.

Išpirkos programinės įrangos dalyviai ir toliau teikia pirmenybę privilegijų eskalavimui po kompromiso, nes tai leidžia jiems paversti pradinę prieigą į platesnę tinklo valdymą. Pasitelkę tokius išnaudojimus kaip CVE-2025-29824, jie gali išplėsti savo pasiekiamumą, įgyti privilegijuotą prieigą ir įdiegti išpirkos reikalaujančią programinę įrangą su pražūtingu poveikiu. Organizacijos turi išlikti budrios, nedelsdamos pritaikyti saugos pataisas, stebėti neįprastą sistemos veiklą ir taikyti griežtą prieigos kontrolę, kad sumažintų tokių besivystančių kibernetinių grėsmių keliamą riziką.