Oprogramowanie szpiegujące PipeMagic

Do Mezo w Złośliwe oprogramowanie, Wrażliwość

Przetłumacz na:

Badacze odkryli obecnie załataną lukę w zabezpieczeniach w systemie Windows Common Log File System (CLFS), która była aktywnie wykorzystywana jako atak typu zero-day. Ta luka była wykorzystywana w kampaniach ransomware wymierzonych w określone organizacje z wielu branż, w tym sektory IT i nieruchomości w Stanach Zjednoczonych, instytucje finansowe w Wenezueli, hiszpańską firmę zajmującą się oprogramowaniem i przedsiębiorstwa detaliczne w Arabii Saudyjskiej.

Spis treści

Zrozumienie CVE-2025-29824

Zidentyfikowana jako CVE-2025-29824, ta luka w zabezpieczeniach jest luką umożliwiającą eskalację uprawnień w CLFS, która umożliwia atakującym uzyskanie uprawnień na poziomie SYSTEM. Firma Microsoft zajęła się tym problemem i naprawiła go podczas aktualizacji Patch Tuesday z kwietnia 2025 r. Grupa cyberprzestępców stojąca za tymi atakami, śledzona pod nazwą Storm-2460, wdrożyła szczep złośliwego oprogramowania o nazwie PipeMagic, aby wykorzystać lukę w zabezpieczeniach i wdrożyć ładunki ransomware.

Jak przebiegał atak

Chociaż dokładna metoda początkowego dostępu pozostaje nieznana, badacze zaobserwowali, że atakujący użyli narzędzia cert do pobrania złośliwego oprogramowania z zainfekowanej witryny innej firmy. Złośliwe oprogramowanie, groźny plik MSBuild, zawierało zaszyfrowany ładunek, który po uruchomieniu uruchamiał PipeMagic. Ten oparty na wtyczce trojan, który był aktywny od 2022 r., odegrał kluczową rolę w ułatwieniu ataku.

To nie jest pierwszy przypadek użycia PipeMagic w atakach typu zero-day. Wcześniej nadużywało ono luki CVE-2025-24983, luki w podsystemie jądra Windows Win32 umożliwiającej eskalację uprawnień. Zostało również powiązane z atakami ransomware Nokoyawa, które wykorzystywały inną lukę typu zero-day CLFS, CVE-2023-28252. Ponadto eksperci ds. cyberbezpieczeństwa poinformowali, że we wcześniejszych atakach przypisywanych temu samemu aktorowi zagrożenia PipeMagic zostało wdrożone za pomocą skryptu MSBuild przed wykorzystaniem luki w zabezpieczeniach CLFS umożliwiającej podniesienie uprawnień.

Eksploatacja i jej wpływ

Atak wyraźnie atakuje lukę w sterowniku jądra CLFS. Wykorzystując uszkodzenie pamięci i wykorzystując interfejs API RtlSetAllBits, atakujący nadpisują token procesu exploita za pomocą 0xFFFFFFFF, przyznając pełne uprawnienia. Pozwala im to wstrzykiwać niebezpieczne procesy do procesów SYSTEM, skutecznie przejmując kontrolę nad zainfekowaną maszyną. Po pomyślnym wykorzystaniu ataku, atakujący wydobywają dane uwierzytelniające użytkownika, zrzucając pamięć LSASS i szyfrując pliki systemowe losowo generowanym rozszerzeniem. Następnie upuszczana jest notatka z żądaniem okupu zawierająca domenę TOR powiązaną z rodziną ransomware RansomEXX.

Środki bezpieczeństwa i obrona

Pomimo powagi ataku, Windows 11, wersja 24H2, nie jest dotknięty tym konkretnym exploitem. Wynika to z ograniczeń bezpieczeństwa nałożonych na określone klasy System Information w ramach NtQuerySystemInformation, które ograniczają dostęp do użytkowników z SeDebugPrivilege, uprawnieniem zwykle przyznawanym tylko użytkownikom administracyjnym.

Aktorzy ransomware nadal priorytetowo traktują eskalację uprawnień po naruszeniu, ponieważ umożliwia im to przekształcenie początkowego dostępu w szerszą kontrolę w sieci. Wykorzystując exploity takie jak CVE-2025-29824, mogą zwiększyć swój zasięg, uzyskać uprzywilejowany dostęp i wdrożyć ransomware z niszczycielskim skutkiem. Organizacje muszą zachować czujność, szybko stosować poprawki zabezpieczeń, monitorować nietypową aktywność systemu i egzekwować silne kontrole dostępu, aby zmniejszyć ryzyko stwarzane przez takie rozwijające się cyberzagrożenia.