PipeMagic Malware

Nga Mezo në Malware, Cenueshmëria

Përkthe në:

Studiuesit kanë zbuluar një dobësi sigurie të korrigjuar tashmë brenda sistemit të skedarëve të përbashkët të Windows (CLFS) që është shfrytëzuar në mënyrë aktive si një sulm i ditës zero. Ky defekt u përdor në fushatat e ransomware që synonin organizata specifike në industri të shumta, duke përfshirë sektorët e IT dhe pasurive të paluajtshme në Shtetet e Bashkuara, institucionet financiare në Venezuelë, një kompani spanjolle softuerësh dhe biznese me pakicë në Arabinë Saudite.

Tabela e Përmbajtjes

Kuptimi i CVE-2025-29824

I identifikuar si CVE-2025-29824, kjo dobësi është një e metë e përshkallëzimit të privilegjit në CLFS që lejon sulmuesit të marrin privilegje të nivelit të SISTEMIT. Microsoft e adresoi dhe korrigjoi problemin gjatë përditësimit të Prillit 2025 Patch Tuesday. Grupi kriminel kibernetik pas këtyre sulmeve, i gjurmuar me emrin Storm-2460, vendosi një lloj malware të quajtur PipeMagic për të shfrytëzuar cenueshmërinë e sigurisë dhe për të vendosur ngarkesa ransomware.

Si u shpalos sulmi

Ndërsa metoda e saktë e hyrjes fillestare mbetet e panjohur, studiuesit vunë re se sulmuesit përdorën programin e certifikatës për të shkarkuar malware nga një faqe interneti e komprometuar e palëve të treta. Malware, një skedar kërcënues MSBuild, përmbante një ngarkesë të koduar që, pasi të ekzekutohej, nisi PipeMagic. Ky Trojan i bazuar në shtojca, i cili ka qenë aktiv që nga viti 2022, luajti një rol qendror në lehtësimin e sulmit.

Ky nuk është rasti i parë i përdorimit të PipeMagic në shfrytëzimet e ditës zero. Më parë, ai abuzoi me CVE-2025-24983, një defekt i përshkallëzimit të privilegjeve të Nënsistemit të Kernelit Windows Win32. Ai është shoqëruar gjithashtu me sulme ransomware Nokoyawa që kanë shfrytëzuar një dobësi tjetër të ditës zero CLFS, CVE-2023-28252. Për më tepër, ekspertët e sigurisë kibernetike raportuan se në sulmet e mëparshme që i atribuoheshin të njëjtit aktor kërcënimi, PipeMagic u vendos përmes një skripti MSBuild përpara se të shfrytëzonte cenueshmërinë e ngritjes së privilegjeve CLFS.

Shfrytëzimi dhe ndikimi i tij

Sulmi synon në mënyrë të qartë një cenueshmëri në drejtuesin e kernelit CLFS. Duke shfrytëzuar dëmtimin e kujtesës dhe duke përdorur API-në RtlSetAllBits, sulmuesit mbishkruajnë tokenin e procesit të shfrytëzimit me 0xFFFFFFFF, duke dhënë privilegje të plota. Kjo i lejon ata të injektojnë procese të pasigurta në proceset SISTEMI, duke marrë në mënyrë efektive kontrollin e makinës së infektuar. Pas shfrytëzimit të suksesshëm, aktorët e kërcënimit nxjerrin kredencialet e përdoruesit duke hedhur memorien LSASS dhe duke enkriptuar skedarët e sistemit me një zgjatje të krijuar rastësisht. Një shënim shpërblimi që përmban një domen TOR të lidhur me familjen e ransomware-ve RansomEXX hidhet më pas.

Masat e Sigurisë dhe Mbrojtjes

Pavarësisht ashpërsisë së sulmit, Windows 11, versioni 24H2, nuk ndikohet nga ky shfrytëzim specifik. Kjo është për shkak të kufizimeve të sigurisë të vendosura në klasa të veçanta të informacionit të sistemit brenda NtQuerySystemInformation, të cilat kufizojnë aksesin për përdoruesit me SeDebugPrivilege, leje që zakonisht u jepet vetëm përdoruesve administrativë.

Aktorët e Ransomware vazhdojnë t'i japin përparësi përshkallëzimit të privilegjeve pas kompromisit, pasi u mundëson atyre të transformojnë aksesin fillestar në kontroll më të gjerë brenda një rrjeti. Duke përdorur shfrytëzime si CVE-2025-29824, ata mund të përshkallëzojnë shtrirjen e tyre, të fitojnë akses të privilegjuar dhe të vendosin ransomware me ndikim shkatërrues. Organizatat duhet të qëndrojnë vigjilente, duke aplikuar menjëherë arnimet e sigurisë, duke monitoruar për aktivitet të pazakontë të sistemit dhe duke zbatuar kontrolle të forta aksesi për të pakësuar rreziqet e paraqitura nga kërcënime të tilla kibernetike në zhvillim.