PipeMagic Malware

अनुसन्धानकर्ताहरूले विन्डोज कमन लग फाइल सिस्टम (CLFS) भित्र अहिले प्याच गरिएको सुरक्षा जोखिम पत्ता लगाएका छन् जुन सक्रिय रूपमा शून्य-दिन आक्रमणको रूपमा शोषण गरिएको थियो। यो त्रुटि संयुक्त राज्य अमेरिकामा आईटी र घर जग्गा क्षेत्रहरू, भेनेजुएलामा वित्तीय संस्थाहरू, एक स्पेनी सफ्टवेयर कम्पनी र साउदी अरेबियामा खुद्रा व्यवसायहरू सहित धेरै उद्योगहरूमा विशिष्ट संस्थाहरूलाई लक्षित गर्ने ransomware अभियानहरूमा प्रयोग गरिएको थियो।

CVE-२०२५-२९८२४ बुझ्दै

CVE-2025-29824 को रूपमा पहिचान गरिएको, यो जोखिम CLFS मा एक विशेषाधिकार वृद्धि त्रुटि हो जसले आक्रमणकारीहरूलाई SYSTEM-स्तर विशेषाधिकारहरू प्राप्त गर्न अनुमति दिन्छ। माइक्रोसफ्टले अप्रिल २०२५ प्याच मंगलबार अपडेटको क्रममा यो समस्यालाई सम्बोधन र प्याच गर्‍यो। यी आक्रमणहरूको पछाडि साइबर अपराधी समूह, Storm-2460 नामले ट्र्याक गरिएको, सुरक्षा जोखिमको शोषण गर्न र ransomware पेलोडहरू तैनाथ गर्न PipeMagic नामक मालवेयर स्ट्रेन तैनाथ गर्‍यो।

आक्रमण कसरी प्रकट भयो

प्रारम्भिक पहुँचको सही विधि अज्ञात रहे पनि, अनुसन्धानकर्ताहरूले अवलोकन गरे कि आक्रमणकारीहरूले सम्झौता गरिएको तेस्रो-पक्ष वेबसाइटबाट मालवेयर डाउनलोड गर्न प्रमाणपत्र उपयोगिता प्रयोग गरे। मालवेयर, एक खतरनाक MSBuild फाइल, मा एक एन्क्रिप्टेड पेलोड थियो जुन, एक पटक कार्यान्वयन भएपछि, PipeMagic सुरु भयो। यो प्लगइन-आधारित ट्रोजन, जुन २०२२ देखि सक्रिय छ, ले आक्रमणलाई सहज बनाउन केन्द्रीय भूमिका खेलेको थियो।

शून्य-दिनको शोषणमा पाइपम्याजिक प्रयोग गरिएको यो पहिलो घटना होइन। पहिले, यसले CVE-2025-24983 को दुरुपयोग गर्‍यो, जुन Windows Win32 कर्नेल सबसिस्टम विशेषाधिकार वृद्धि त्रुटि हो। यो नोकोयावा र्‍यान्समवेयर आक्रमणहरूसँग पनि सम्बन्धित छ जसले अर्को CLFS शून्य-दिन जोखिम, CVE-2023-28252 को शोषण गर्‍यो। थप रूपमा, साइबर सुरक्षा विज्ञहरूले रिपोर्ट गरे कि उही खतरा अभिनेतालाई जिम्मेवार ठहराइएको पहिलेका आक्रमणहरूमा, पाइपम्याजिकलाई CLFS उन्नत-विशेषाधिकार जोखिमको शोषण गर्नु अघि MSBuild स्क्रिप्ट मार्फत तैनाथ गरिएको थियो।

शोषण र यसको प्रभाव

यो आक्रमणले CLFS कर्नेल ड्राइभरमा रहेको जोखिमलाई स्पष्ट रूपमा लक्षित गर्दछ। मेमोरी भ्रष्टाचारको शोषण गरेर र RtlSetAllBits API प्रयोग गरेर, आक्रमणकारीहरूले 0xFFFFFFFFF सँग शोषण प्रक्रियाको टोकनलाई ओभरराइट गर्छन्, पूर्ण विशेषाधिकारहरू प्रदान गर्छन्। यसले तिनीहरूलाई SYSTEM प्रक्रियाहरूमा असुरक्षित प्रक्रियाहरू इन्जेक्ट गर्न अनुमति दिन्छ, प्रभावकारी रूपमा संक्रमित मेसिनको नियन्त्रण लिन्छ। सफल शोषण पछि, धम्की अभिनेताहरूले LSASS मेमोरी डम्प गरेर र अनियमित रूपमा उत्पन्न एक्सटेन्सनको साथ प्रणाली फाइलहरू इन्क्रिप्ट गरेर प्रयोगकर्ता प्रमाणहरू निकाल्छन्। RansomEXX ransomware परिवारसँग लिङ्क गरिएको TOR डोमेन भएको फिरौती नोट त्यसपछि छोडिन्छ।

सुरक्षा उपाय र रक्षा

आक्रमणको गम्भीरताको बावजुद, Windows 11, संस्करण 24H2, यस विशिष्ट शोषणबाट प्रभावित छैन। यो NtQuerySystemInformation भित्र विशेष प्रणाली जानकारी कक्षाहरूमा राखिएको सुरक्षा प्रतिबन्धहरूको कारणले हो, जसले SeDebugPrivilege भएका प्रयोगकर्ताहरूको पहुँच सीमित गर्दछ, अनुमति सामान्यतया प्रशासनिक प्रयोगकर्ताहरूलाई मात्र दिइन्छ।

र्‍यान्समवेयरका अभिनेताहरूले सम्झौतापछिको विशेषाधिकार वृद्धिलाई प्राथमिकता दिन जारी राख्छन्, किनकि यसले तिनीहरूलाई नेटवर्क भित्र प्रारम्भिक पहुँचलाई फराकिलो नियन्त्रणमा रूपान्तरण गर्न सक्षम बनाउँछ। CVE-2025-29824 जस्ता शोषणहरूको लाभ उठाएर, तिनीहरूले आफ्नो पहुँच बढाउन, विशेषाधिकार प्राप्त पहुँच प्राप्त गर्न, र विनाशकारी प्रभावको साथ र्‍यान्समवेयर तैनाथ गर्न सक्छन्। संस्थाहरूले सतर्क रहनुपर्छ, सुरक्षा प्याचहरू तुरुन्तै लागू गर्नुपर्छ, असामान्य प्रणाली गतिविधिको लागि निगरानी गर्नुपर्छ, र यस्ता विकसित साइबर खतराहरूबाट उत्पन्न जोखिमहरू कम गर्न बलियो पहुँच नियन्त्रणहरू लागू गर्नुपर्छ।

PipeMagic Malware भिडियो

सुझाव: आफ्नो आवाज खोल्नुहोस् र पूर्ण स्क्रिन मोडमा भिडियो हेर्नुहोस् ।