PipeMagic Malware

Do leta Mezo leta Zlonamerna programska oprema, Ranljivost

Prevedi v:

Raziskovalci so odkrili zdaj zakrpano varnostno ranljivost v sistemu Windows Common Log File System (CLFS), ki je bila aktivno izkoriščena kot napad ničelnega dne. Ta napaka je bila uporabljena v kampanjah z izsiljevalsko programsko opremo, ki ciljajo na določene organizacije v več panogah, vključno s sektorjem IT in nepremičninami v Združenih državah, finančnimi institucijami v Venezueli, španskim podjetjem za programsko opremo in maloprodajnimi podjetji v Savdski Arabiji.

Kazalo

Razumevanje CVE-2025-29824

Ta ranljivost, označena kot CVE-2025-29824, je napaka pri stopnjevanju privilegijev v CLFS, ki napadalcem omogoča pridobitev privilegijev na ravni SISTEMA. Microsoft je obravnaval in popravil težavo med torkovo posodobitvijo popravkov aprila 2025. Skupina kibernetskih kriminalcev, ki stoji za temi napadi, ki ji sledijo pod imenom Storm-2460, je uporabila različico zlonamerne programske opreme, imenovano PipeMagic, da bi izkoristila varnostno ranljivost in uvedla obremenitve izsiljevalske programske opreme.

Kako se je napad odvil

Medtem ko natančna metoda začetnega dostopa ostaja neznana, so raziskovalci ugotovili, da so napadalci uporabili pripomoček cert za prenos zlonamerne programske opreme z ogroženega spletnega mesta tretje osebe. Zlonamerna programska oprema, grozeča datoteka MSBuild, je vsebovala šifrirano koristno vsebino, ki je po izvedbi zagnala PipeMagic. Ta trojanec na osnovi vtičnikov, ki je aktiven od leta 2022, je imel osrednjo vlogo pri omogočanju napada.

To ni prvi primer PipeMagic, ki se uporablja v zero-day podvigih. Prej je zlorabljal CVE-2025-24983, napako stopnjevanja privilegijev podsistema jedra Windows Win32. Povezan je bil tudi z napadi izsiljevalske programske opreme Nokoyawa, ki so izkoriščali drugo ranljivost ničelnega dne CLFS, CVE-2023-28252. Poleg tega so strokovnjaki za kibernetsko varnost poročali, da je bil v prejšnjih napadih, pripisanih istemu akterju grožnje, PipeMagic uveden prek skripta MSBuild, preden je izkoristil ranljivost CLFS za dvig privilegijev.

Izkoriščanje in njegov vpliv

Napad je izrecno usmerjen na ranljivost v gonilniku jedra CLFS. Z izkoriščanjem okvare pomnilnika in uporabo API-ja RtlSetAllBits napadalci prepišejo žeton procesa izkoriščanja z 0xFFFFFFFF in tako podelijo polne privilegije. To jim omogoča, da v procese SYSTEM vstavijo nevarne procese in tako dejansko prevzamejo nadzor nad okuženim strojem. Po uspešnem izkoriščanju akterji groženj pridobijo uporabniške poverilnice tako, da izpustijo pomnilnik LSASS in šifrirajo sistemske datoteke z naključno ustvarjeno končnico. Opomba o odkupnini, ki vsebuje domeno TOR, povezano z družino izsiljevalskih programov RansomEXX, se nato izloči.

Varnostni ukrepi in obramba

Kljub resnosti napada to specifično izkoriščanje ne vpliva na Windows 11, različica 24H2. To je posledica varnostnih omejitev za določene sistemske informacijske razrede znotraj NtQuerySystemInformation, ki omejujejo dostop na uporabnike s SeDebugPrivilege, dovoljenjem, ki je običajno dodeljeno samo skrbniškim uporabnikom.

Akterji izsiljevalske programske opreme še naprej dajejo prednost stopnjevanju privilegijev po kompromisu, saj jim omogoča, da začetni dostop spremenijo v širši nadzor znotraj omrežja. Z izkoriščanjem izkoriščanj, kot je CVE-2025-29824, lahko povečajo svoj doseg, pridobijo privilegiran dostop in uvedejo izsiljevalsko programsko opremo z uničujočim učinkom. Organizacije morajo ostati pazljive, nemudoma namestiti varnostne popravke, spremljati neobičajno sistemsko dejavnost in uveljaviti močan nadzor dostopa, da zmanjšajo tveganja, ki jih predstavljajo takšne razvijajoče se kibernetske grožnje.