PipeMagic Malware

விண்டோஸ் காமன் லாக் கோப்பு முறைமையில் (CLFS) தற்போது காணப்படும் பாதுகாப்பு பாதிப்பை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர், இது பூஜ்ஜிய-நாள் தாக்குதலாக தீவிரமாகப் பயன்படுத்தப்பட்டது. அமெரிக்காவில் ஐடி மற்றும் ரியல் எஸ்டேட் துறைகள், வெனிசுலாவில் நிதி நிறுவனங்கள், ஒரு ஸ்பானிஷ் மென்பொருள் நிறுவனம் மற்றும் சவுதி அரேபியாவில் சில்லறை வணிகங்கள் உள்ளிட்ட பல தொழில்களில் உள்ள குறிப்பிட்ட நிறுவனங்களை குறிவைத்து ரான்சம்வேர் பிரச்சாரங்களில் இந்தக் குறைபாடு பயன்படுத்தப்பட்டது.

CVE-2025-29824 ஐப் புரிந்துகொள்வது

CVE-2025-29824 என அடையாளம் காணப்பட்ட இந்த பாதிப்பு, CLFS இல் உள்ள ஒரு சலுகை அதிகரிப்பு குறைபாடாகும், இது தாக்குபவர்கள் SYSTEM-நிலை சலுகைகளைப் பெற அனுமதிக்கிறது. ஏப்ரல் 2025 பேட்ச் செவ்வாய் புதுப்பிப்பின் போது மைக்ரோசாப்ட் இந்த சிக்கலைக் கையாண்டு சரிசெய்தது. இந்த தாக்குதல்களுக்குப் பின்னால் உள்ள சைபர் குற்றவாளிகள் குழு, Storm-2460 என்ற பெயரில் கண்காணிக்கப்பட்டு, பாதுகாப்பு பாதிப்பைப் பயன்படுத்திக் கொள்ளவும், ransomware பேலோடுகளைப் பயன்படுத்தவும் PipeMagic எனப்படும் தீம்பொருள் வகையைப் பயன்படுத்தியது.

தாக்குதல் எப்படி வெளிப்பட்டது

ஆரம்ப அணுகலுக்கான சரியான முறை தெரியவில்லை என்றாலும், தாக்குபவர்கள் மூன்றாம் தரப்பு வலைத்தளத்திலிருந்து தீம்பொருளைப் பதிவிறக்க சான்றிதழ் பயன்பாட்டைப் பயன்படுத்தியதை ஆராய்ச்சியாளர்கள் கவனித்தனர். அச்சுறுத்தும் MSBuild கோப்பான இந்த தீம்பொருள், ஒரு மறைகுறியாக்கப்பட்ட பேலோடைக் கொண்டிருந்தது, அது செயல்படுத்தப்பட்டவுடன், PipeMagic ஐத் தொடங்கியது. 2022 முதல் செயலில் உள்ள இந்த செருகுநிரல் அடிப்படையிலான ட்ரோஜன், தாக்குதலை எளிதாக்குவதில் முக்கிய பங்கு வகித்தது.

பூஜ்ஜிய-நாள் சுரண்டல்களில் பைப்மேஜிக் பயன்படுத்தப்படுவது இது முதல் நிகழ்வு அல்ல. முன்னதாக, இது விண்டோஸ் வின்32 கர்னல் துணை அமைப்பு சலுகை விரிவாக்கக் குறைபாடான CVE-2025-24983 ஐ தவறாகப் பயன்படுத்தியது. இது மற்றொரு CLFS பூஜ்ஜிய-நாள் பாதிப்பான CVE-2023-28252 ஐப் பயன்படுத்திக் கொண்ட நோகோயாவா ரான்சம்வேர் தாக்குதல்களுடனும் தொடர்புடையது. கூடுதலாக, அதே அச்சுறுத்தல் நடிகருக்குக் காரணமான முந்தைய தாக்குதல்களில், CLFS உயர்-சிறப்பு பாதிப்பைப் பயன்படுத்துவதற்கு முன்பு பைப்மேஜிக் ஒரு MSBuild ஸ்கிரிப்ட் மூலம் பயன்படுத்தப்பட்டது என்று சைபர் பாதுகாப்பு நிபுணர்கள் தெரிவித்தனர்.

சுரண்டல் மற்றும் அதன் தாக்கம்

இந்தத் தாக்குதல் CLFS கர்னல் இயக்கியில் உள்ள ஒரு பாதிப்பை வெளிப்படையாக குறிவைக்கிறது. நினைவக ஊழலைப் பயன்படுத்தி RtlSetAllBits API ஐப் பயன்படுத்துவதன் மூலம், தாக்குபவர்கள் exploit செயல்முறையின் டோக்கனை 0xFFFFFFF உடன் மேலெழுதுகிறார்கள், முழு சலுகைகளையும் வழங்குகிறார்கள். இது SYSTEM செயல்முறைகளில் பாதுகாப்பற்ற செயல்முறைகளை செலுத்த அனுமதிக்கிறது, பாதிக்கப்பட்ட இயந்திரத்தை திறம்பட கட்டுப்படுத்துகிறது. வெற்றிகரமான சுரண்டலுக்குப் பிறகு, அச்சுறுத்தல் நடிகர்கள் LSASS நினைவகத்தை டம்பிங் செய்து, சீரற்ற முறையில் உருவாக்கப்பட்ட நீட்டிப்புடன் கணினி கோப்புகளை குறியாக்கம் செய்வதன் மூலம் பயனர் சான்றுகளைப் பிரித்தெடுக்கிறார்கள். RansomEXX ransomware குடும்பத்துடன் இணைக்கப்பட்ட TOR டொமைனைக் கொண்ட ஒரு ransom குறிப்பு பின்னர் கைவிடப்படுகிறது.

பாதுகாப்பு நடவடிக்கைகள் மற்றும் பாதுகாப்பு

தாக்குதலின் தீவிரம் இருந்தபோதிலும், Windows 11, பதிப்பு 24H2, இந்த குறிப்பிட்ட சுரண்டலால் பாதிக்கப்படவில்லை. இது NtQuerySystemInformation இல் உள்ள குறிப்பிட்ட கணினி தகவல் வகுப்புகளில் வைக்கப்பட்டுள்ள பாதுகாப்பு கட்டுப்பாடுகள் காரணமாகும், இது SeDebugPrivilege உள்ள பயனர்களுக்கான அணுகலைக் கட்டுப்படுத்துகிறது, பொதுவாக நிர்வாக பயனர்களுக்கு மட்டுமே அனுமதி வழங்கப்படுகிறது.

Ransomware செயலிகள், சமரசத்திற்குப் பிந்தைய சலுகை விரிவாக்கத்திற்கு தொடர்ந்து முன்னுரிமை அளிக்கின்றன, ஏனெனில் இது ஆரம்ப அணுகலை ஒரு நெட்வொர்க்கிற்குள் பரந்த கட்டுப்பாட்டாக மாற்ற உதவுகிறது. CVE-2025-29824 போன்ற சுரண்டல்களைப் பயன்படுத்துவதன் மூலம், அவர்கள் தங்கள் வரம்பை அதிகரிக்கலாம், சலுகை பெற்ற அணுகலைப் பெறலாம் மற்றும் பேரழிவு தரும் தாக்கத்துடன் ransomware ஐப் பயன்படுத்தலாம். நிறுவனங்கள் விழிப்புடன் இருக்க வேண்டும், பாதுகாப்பு இணைப்புகளை உடனடியாகப் பயன்படுத்த வேண்டும், அசாதாரண கணினி செயல்பாட்டைக் கண்காணிக்க வேண்டும் மற்றும் இதுபோன்ற வளர்ந்து வரும் சைபர் அச்சுறுத்தல்களால் ஏற்படும் அபாயங்களைக் குறைக்க வலுவான அணுகல் கட்டுப்பாடுகளைச் செயல்படுத்த வேண்டும்.

PipeMagic Malware வீடியோ

உதவிக்குறிப்பு: உங்கள் ஒலியை இயக்கி , வீடியோவை முழுத்திரை பயன்முறையில் பார்க்கவும் .