Вредоносное ПО PipeMagic

К Mezo году в Вредоносное ПО, Уязвимость году

Перевести на:

Исследователи обнаружили в Windows Common Log File System (CLFS) уязвимость безопасности, которая теперь уже исправлена и активно использовалась в качестве атаки нулевого дня. Эта уязвимость использовалась в кампаниях по вымогательству, нацеленных на определенные организации в различных отраслях, включая секторы ИТ и недвижимости в США, финансовые учреждения в Венесуэле, испанскую компанию-разработчика программного обеспечения и розничные предприятия в Саудовской Аравии.

Оглавление

Понимание CVE-2025-29824

Эта уязвимость, обозначенная как CVE-2025-29824, представляет собой уязвимость повышения привилегий в CLFS, которая позволяет злоумышленникам получать привилегии уровня SYSTEM. Microsoft рассмотрела и исправила проблему во время обновления Patch Tuesday в апреле 2025 года. Киберпреступная группа, стоящая за этими атаками, известная под именем Storm-2460, развернула штамм вредоносного ПО PipeMagic для эксплуатации уязвимости безопасности и развертывания вредоносных программ-вымогателей.

Как разворачивалась атака

Хотя точный метод первоначального доступа остается неизвестным, исследователи заметили, что злоумышленники использовали утилиту cert для загрузки вредоносного ПО со скомпрометированного стороннего веб-сайта. Вредоносное ПО, представляющее собой угрожающий файл MSBuild, содержало зашифрованную полезную нагрузку, которая после выполнения запускала PipeMagic. Этот троян на основе плагина, который был активен с 2022 года, сыграл центральную роль в содействии атаке.

Это не первый случай использования PipeMagic в эксплойтах нулевого дня. Ранее он использовал CVE-2025-24983, уязвимость повышения привилегий подсистемы ядра Windows Win32. Он также был связан с атаками Nokoyawa ransomware, которые эксплуатировали другую уязвимость нулевого дня CLFS, CVE-2023-28252. Кроме того, эксперты по кибербезопасности сообщили, что в более ранних атаках, приписываемых тому же субъекту угроз, PipeMagic был развернут через скрипт MSBuild перед эксплуатацией уязвимости повышения привилегий CLFS.

Эксплуатация и ее влияние

Атака явно нацелена на уязвимость в драйвере ядра CLFS. Эксплуатируя повреждение памяти и используя API RtlSetAllBits, злоумышленники перезаписывают токен процесса эксплойта на 0xFFFFFFFF, предоставляя полные привилегии. Это позволяет им внедрять небезопасные процессы в процессы SYSTEM, эффективно захватывая контроль над зараженной машиной. После успешной эксплуатации злоумышленники извлекают учетные данные пользователя, сбрасывая память LSASS и шифруя системные файлы с помощью случайно сгенерированного расширения. Затем сбрасывается записка с требованием выкупа, содержащая домен TOR, связанный с семейством программ-вымогателей RansomEXX.

Меры безопасности и обороны

Несмотря на серьезность атаки, Windows 11 версии 24H2 не подвержена этой конкретной эксплуатации. Это связано с ограничениями безопасности, наложенными на определенные классы системной информации в NtQuerySystemInformation, которые ограничивают доступ пользователям с SeDebugPrivilege, разрешением, которое обычно предоставляется только администраторам.

Участники программ-вымогателей продолжают отдавать приоритет эскалации привилегий после компрометации, поскольку это позволяет им преобразовать первоначальный доступ в более широкий контроль в сети. Используя такие эксплойты, как CVE-2025-29824, они могут расширять свое влияние, получать привилегированный доступ и развертывать программы-вымогатели с разрушительным воздействием. Организации должны сохранять бдительность, оперативно применяя исправления безопасности, отслеживая необычную активность системы и обеспечивая строгий контроль доступа, чтобы снизить риски, связанные с такими развивающимися киберугрозами.