PipeMagic Malware
Истраживачи су открили сада закрпљену безбедносну рањивост у оквиру Виндовс Цоммон Лог Филе Систем (ЦЛФС) која је активно искоришћена као напад нултог дана. Ова мана је коришћена у кампањама рансомваре-а које су циљале одређене организације у више индустрија, укључујући ИТ и сектор некретнина у Сједињеним Државама, финансијске институције у Венецуели, шпанску софтверску компанију и малопродајне компаније у Саудијској Арабији.
Преглед садржаја
Разумевање ЦВЕ-2025-29824
Идентификована као ЦВЕ-2025-29824, ова рањивост је недостатак ескалације привилегија у ЦЛФС-у који омогућава нападачима да добију привилегије на нивоу СИСТЕМА. Мицрософт је решио и закрпио проблем током ажурирања закрпе у уторак из априла 2025. Група сајбер криминалаца која стоји иза ових напада, праћена под именом Сторм-2460, применила је сој малвера под називом ПипеМагиц да би искористила безбедносну рањивост и применила рансомвер.
Како се напад одвијао
Иако је тачан метод иницијалног приступа и даље непознат, истраживачи су приметили да су нападачи користили услужни програм церт за преузимање злонамерног софтвера са компромитоване веб локације треће стране. Злонамерни софтвер, претећи МСБуилд фајл, садржао је шифровани корисни терет који је, када се изврши, покренуо ПипеМагиц. Овај тројанац заснован на додацима, који је активан од 2022. године, играо је централну улогу у омогућавању напада.
Ово није први случај да се ПипеМагиц користи у експлоатацији нултог дана. Раније је злоупотребио ЦВЕ-2025-24983, грешку у ескалацији привилегија Виндовс Вин32 кернел подсистема. Такође је повезан са Нокоиава нападима рансомваре-а који су искористили другу рањивост нултог дана ЦЛФС-а, ЦВЕ-2023-28252. Поред тога, стручњаци за сајбер безбедност су известили да је у ранијим нападима који су се приписивали истом актеру претње, ПипеМагиц је био примењен преко МСБуилд скрипте пре него што је искористио рањивост ЦЛФС елевације привилегија.
Експлоатација и њен утицај
Напад је експлицитно усмерен на рањивост у драјверу ЦЛФС кернела. Искоришћавањем оштећења меморије и употребом РтлСетАллБитс АПИ-ја, нападачи замењују токен процеса експлоатације са 0кФФФФФФФФ, дајући пуне привилегије. Ово им омогућава да унесу небезбедне процесе у СИСТЕМСКЕ процесе, ефективно преузимајући контролу над зараженом машином. Након успешне експлоатације, актери претње извлаче корисничке акредитиве тако што избацују ЛСАСС меморију и шифрују системске датотеке са насумично генерисаним екстензијом. Порука о откупнини која садржи ТОР домен повезан са породицом рансомвера РансомЕКСКС се затим одбацује.
Мере безбедности и одбрана
Упркос озбиљности напада, Виндовс 11, верзија 24Х2, није погођен овом специфичном експлоатацијом. Ово је због безбедносних ограничења постављених на одређене класе системских информација у оквиру НтКуериСистемИнформатион, које ограничавају приступ корисницима са СеДебугПривилеге, дозволом која се обично додељује само административним корисницима.
Актери рансомваре-а настављају да дају приоритет посткомпромисној ескалацији привилегија, јер им то омогућава да трансформишу почетни приступ у ширу контролу унутар мреже. Користећи експлоатације као што је ЦВЕ-2025-29824, они могу да повећају свој домет, добију привилеговани приступ и примене рансомваре са разорним утицајем. Организације морају да остану будне, одмах примењујући безбедносне закрпе, надгледајући неуобичајене системске активности и примењујући јаке контроле приступа како би умањиле ризике које представљају такве еволуирајуће сајбер претње.
PipeMagic Malware Видео
Савет: Укључите звук и гледајте видео у режиму целог екрана .
