PipeMagic Malware
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਵਿੰਡੋਜ਼ ਕਾਮਨ ਲੌਗ ਫਾਈਲ ਸਿਸਟਮ (CLFS) ਦੇ ਅੰਦਰ ਇੱਕ ਹੁਣ-ਪੈਚ ਕੀਤੀ ਗਈ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀ ਦਾ ਪਤਾ ਲਗਾਇਆ ਹੈ ਜਿਸਦਾ ਸਰਗਰਮੀ ਨਾਲ ਜ਼ੀਰੋ-ਡੇਅ ਹਮਲੇ ਵਜੋਂ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਨੁਕਸ ਦੀ ਵਰਤੋਂ ਕਈ ਉਦਯੋਗਾਂ ਵਿੱਚ ਖਾਸ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਰੈਨਸਮਵੇਅਰ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਕੀਤੀ ਗਈ ਸੀ, ਜਿਸ ਵਿੱਚ ਸੰਯੁਕਤ ਰਾਜ ਵਿੱਚ ਆਈਟੀ ਅਤੇ ਰੀਅਲ ਅਸਟੇਟ ਸੈਕਟਰ, ਵੈਨੇਜ਼ੁਏਲਾ ਵਿੱਚ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ, ਇੱਕ ਸਪੈਨਿਸ਼ ਸਾਫਟਵੇਅਰ ਕੰਪਨੀ ਅਤੇ ਸਾਊਦੀ ਅਰਬ ਵਿੱਚ ਪ੍ਰਚੂਨ ਕਾਰੋਬਾਰ ਸ਼ਾਮਲ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
CVE-2025-29824 ਨੂੰ ਸਮਝਣਾ
CVE-2025-29824 ਵਜੋਂ ਪਛਾਣਿਆ ਗਿਆ, ਇਹ ਕਮਜ਼ੋਰੀ CLFS ਵਿੱਚ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਵਾਲੀ ਖਰਾਬੀ ਹੈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ SYSTEM-ਪੱਧਰ ਦੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਅਪ੍ਰੈਲ 2025 ਪੈਚ ਮੰਗਲਵਾਰ ਅਪਡੇਟ ਦੌਰਾਨ ਇਸ ਮੁੱਦੇ ਨੂੰ ਸੰਬੋਧਿਤ ਕੀਤਾ ਅਤੇ ਪੈਚ ਕੀਤਾ। ਇਨ੍ਹਾਂ ਹਮਲਿਆਂ ਦੇ ਪਿੱਛੇ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹ, ਜਿਸਨੂੰ Storm-2460 ਨਾਮ ਹੇਠ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਸੀ, ਨੇ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀ ਦਾ ਫਾਇਦਾ ਉਠਾਉਣ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਪੇਲੋਡ ਤੈਨਾਤ ਕਰਨ ਲਈ PipeMagic ਨਾਮਕ ਇੱਕ ਮਾਲਵੇਅਰ ਸਟ੍ਰੇਨ ਤਾਇਨਾਤ ਕੀਤਾ।
ਹਮਲਾ ਕਿਵੇਂ ਸਾਹਮਣੇ ਆਇਆ
ਜਦੋਂ ਕਿ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਾ ਸਹੀ ਤਰੀਕਾ ਅਣਜਾਣ ਹੈ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੇਖਿਆ ਕਿ ਹਮਲਾਵਰਾਂ ਨੇ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੀ ਤੀਜੀ-ਧਿਰ ਦੀ ਵੈੱਬਸਾਈਟ ਤੋਂ ਮਾਲਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ cert ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਮਾਲਵੇਅਰ, ਇੱਕ ਧਮਕੀ ਭਰੀ MSBuild ਫਾਈਲ, ਵਿੱਚ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਪੇਲੋਡ ਸੀ ਜੋ, ਇੱਕ ਵਾਰ ਚਲਾਉਣ ਤੋਂ ਬਾਅਦ, PipeMagic ਨੂੰ ਲਾਂਚ ਕਰਦਾ ਸੀ। ਇਹ ਪਲੱਗਇਨ-ਅਧਾਰਿਤ ਟ੍ਰੋਜਨ, ਜੋ ਕਿ 2022 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਨੇ ਹਮਲੇ ਨੂੰ ਸੁਚਾਰੂ ਬਣਾਉਣ ਵਿੱਚ ਕੇਂਦਰੀ ਭੂਮਿਕਾ ਨਿਭਾਈ।
ਇਹ ਪਹਿਲੀ ਵਾਰ ਨਹੀਂ ਹੈ ਕਿ ਪਾਈਪਮੈਜਿਕ ਨੂੰ ਜ਼ੀਰੋ-ਡੇਅ ਸ਼ੋਸ਼ਣ ਵਿੱਚ ਵਰਤਿਆ ਗਿਆ ਹੋਵੇ। ਪਹਿਲਾਂ, ਇਸਨੇ CVE-2025-24983 ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ, ਜੋ ਕਿ ਇੱਕ Windows Win32 Kernel Subsystem ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਾਧਾ ਨੁਕਸ ਸੀ। ਇਸਨੂੰ Nokoyawa ransomware ਹਮਲਿਆਂ ਨਾਲ ਵੀ ਜੋੜਿਆ ਗਿਆ ਹੈ ਜਿਨ੍ਹਾਂ ਨੇ ਇੱਕ ਹੋਰ CLFS ਜ਼ੀਰੋ-ਡੇਅ ਕਮਜ਼ੋਰੀ, CVE-2023-28252 ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੇ ਰਿਪੋਰਟ ਦਿੱਤੀ ਹੈ ਕਿ ਉਸੇ ਹੀ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨਾਲ ਜੁੜੇ ਪਹਿਲੇ ਹਮਲਿਆਂ ਵਿੱਚ, ਪਾਈਪਮੈਜਿਕ ਨੂੰ CLFS ਐਲੀਵੇਸ਼ਨ-ਆਫ-ਪ੍ਰੀਵਿਲੇਜ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ MSBuild ਸਕ੍ਰਿਪਟ ਰਾਹੀਂ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ।
ਸ਼ੋਸ਼ਣ ਅਤੇ ਇਸਦਾ ਪ੍ਰਭਾਵ
ਇਹ ਹਮਲਾ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ CLFS ਕਰਨਲ ਡਰਾਈਵਰ ਵਿੱਚ ਇੱਕ ਕਮਜ਼ੋਰੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਮੈਮੋਰੀ ਭ੍ਰਿਸ਼ਟਾਚਾਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਅਤੇ RtlSetAllBits API ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਹਮਲਾਵਰ 0xFFFFFFFF ਨਾਲ ਐਕਸਪਲਾਈਟ ਪ੍ਰਕਿਰਿਆ ਦੇ ਟੋਕਨ ਨੂੰ ਓਵਰਰਾਈਟ ਕਰਦੇ ਹਨ, ਪੂਰੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਦਿੰਦੇ ਹਨ। ਇਹ ਉਹਨਾਂ ਨੂੰ ਸਿਸਟਮ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਅਸੁਰੱਖਿਅਤ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਇੰਜੈਕਟ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਸੰਕਰਮਿਤ ਮਸ਼ੀਨ ਦਾ ਨਿਯੰਤਰਣ ਲੈਂਦਾ ਹੈ। ਸਫਲ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ LSASS ਮੈਮੋਰੀ ਨੂੰ ਡੰਪ ਕਰਕੇ ਅਤੇ ਬੇਤਰਤੀਬ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੇ ਐਕਸਟੈਂਸ਼ਨ ਨਾਲ ਸਿਸਟਮ ਫਾਈਲਾਂ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਕੇ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ ਕੱਢਦੇ ਹਨ। ਫਿਰ RansomEXX ਰੈਨਸਮਵੇਅਰ ਪਰਿਵਾਰ ਨਾਲ ਜੁੜੇ ਇੱਕ TOR ਡੋਮੇਨ ਵਾਲਾ ਇੱਕ ਰਿਹਾਈ ਨੋਟ ਛੱਡ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।
ਸੁਰੱਖਿਆ ਉਪਾਅ ਅਤੇ ਰੱਖਿਆ
ਹਮਲੇ ਦੀ ਗੰਭੀਰਤਾ ਦੇ ਬਾਵਜੂਦ, Windows 11, ਸੰਸਕਰਣ 24H2, ਇਸ ਖਾਸ ਸ਼ੋਸ਼ਣ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਹੁੰਦਾ ਹੈ। ਇਹ NtQuerySystemInformation ਦੇ ਅੰਦਰ ਖਾਸ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਕਲਾਸਾਂ 'ਤੇ ਲਗਾਈਆਂ ਗਈਆਂ ਸੁਰੱਖਿਆ ਪਾਬੰਦੀਆਂ ਦੇ ਕਾਰਨ ਹੈ, ਜੋ SeDebugPrivilege ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰਦੀਆਂ ਹਨ, ਇਜਾਜ਼ਤ ਆਮ ਤੌਰ 'ਤੇ ਸਿਰਫ ਪ੍ਰਸ਼ਾਸਕੀ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ।
ਰੈਨਸਮਵੇਅਰ ਐਕਟਰ ਸਮਝੌਤਾ ਤੋਂ ਬਾਅਦ ਦੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਉਣ ਨੂੰ ਤਰਜੀਹ ਦਿੰਦੇ ਰਹਿੰਦੇ ਹਨ, ਕਿਉਂਕਿ ਇਹ ਉਹਨਾਂ ਨੂੰ ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਨੂੰ ਵਿਆਪਕ ਨਿਯੰਤਰਣ ਵਿੱਚ ਬਦਲਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। CVE-2025-29824 ਵਰਗੇ ਕਾਰਨਾਮੇ ਵਰਤ ਕੇ, ਉਹ ਆਪਣੀ ਪਹੁੰਚ ਵਧਾ ਸਕਦੇ ਹਨ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ, ਅਤੇ ਵਿਨਾਸ਼ਕਾਰੀ ਪ੍ਰਭਾਵ ਦੇ ਨਾਲ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰ ਸਕਦੇ ਹਨ। ਸੰਗਠਨਾਂ ਨੂੰ ਚੌਕਸ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ, ਸੁਰੱਖਿਆ ਪੈਚ ਤੁਰੰਤ ਲਾਗੂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਅਸਾਧਾਰਨ ਸਿਸਟਮ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਅਤੇ ਅਜਿਹੇ ਵਿਕਸਤ ਹੋ ਰਹੇ ਸਾਈਬਰ ਖਤਰਿਆਂ ਦੁਆਰਾ ਪੈਦਾ ਹੋਣ ਵਾਲੇ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਮਜ਼ਬੂਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਲਾਗੂ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ।
PipeMagic Malware ਵੀਡੀਓ
ਸੁਝਾਅ: ਆਪਣੀ ਆਵਾਜ਼ ਨੂੰ ਚਾਲੂ ਕਰੋ ਅਤੇ ਪੂਰੀ ਸਕ੍ਰੀਨ ਮੋਡ ਵਿੱਚ ਵੀਡੀਓ ਦੇਖੋ ।
