PipeMagic Malware

విండోస్ కామన్ లాగ్ ఫైల్ సిస్టమ్ (CLFS)లో ఇప్పుడు పాచ్ చేయబడిన భద్రతా దుర్బలత్వాన్ని పరిశోధకులు కనుగొన్నారు, దీనిని జీరో-డే దాడిగా చురుకుగా ఉపయోగించుకున్నారు. యునైటెడ్ స్టేట్స్‌లోని IT మరియు రియల్ ఎస్టేట్ రంగాలు, వెనిజులాలోని ఆర్థిక సంస్థలు, సౌదీ అరేబియాలోని స్పానిష్ సాఫ్ట్‌వేర్ కంపెనీ మరియు రిటైల్ వ్యాపారాలు వంటి బహుళ పరిశ్రమలలోని నిర్దిష్ట సంస్థలను లక్ష్యంగా చేసుకుని రాన్సమ్‌వేర్ ప్రచారాలలో ఈ లోపం ఉపయోగించబడింది.

CVE-2025-29824 ను అర్థం చేసుకోవడం

CVE-2025-29824గా గుర్తించబడిన ఈ దుర్బలత్వం, దాడి చేసేవారు సిస్టమ్-స్థాయి అధికారాలను పొందేందుకు అనుమతించే CLFSలో ఒక ప్రత్యేక హక్కుల పెరుగుదల లోపం. ఏప్రిల్ 2025 ప్యాచ్ మంగళవారం నవీకరణ సమయంలో మైక్రోసాఫ్ట్ ఈ సమస్యను పరిష్కరించింది మరియు సరిచేసింది. ఈ దాడుల వెనుక ఉన్న సైబర్ నేరస్థుల సమూహం, స్టార్మ్-2460 పేరుతో ట్రాక్ చేయబడింది, భద్రతా దుర్బలత్వాన్ని ఉపయోగించుకోవడానికి మరియు రాన్సమ్‌వేర్ పేలోడ్‌లను అమలు చేయడానికి పైప్‌మ్యాజిక్ అనే మాల్వేర్ జాతిని మోహరించింది.

దాడి ఎలా బయటపడింది

ప్రారంభ యాక్సెస్ యొక్క ఖచ్చితమైన పద్ధతి తెలియకపోయినా, దాడి చేసేవారు రాజీపడిన మూడవ పక్ష వెబ్‌సైట్ నుండి మాల్వేర్‌ను డౌన్‌లోడ్ చేయడానికి సర్టిఫికెట్ యుటిలిటీని ఉపయోగించారని పరిశోధకులు గమనించారు. బెదిరింపు MSBuild ఫైల్ అయిన ఈ మాల్వేర్ ఎన్‌క్రిప్టెడ్ పేలోడ్‌ను కలిగి ఉంది, అది అమలు చేయబడిన తర్వాత, పైప్‌మ్యాజిక్‌ను ప్రారంభించింది. 2022 నుండి యాక్టివ్‌గా ఉన్న ఈ ప్లగిన్ ఆధారిత ట్రోజన్ దాడిని సులభతరం చేయడంలో కీలక పాత్ర పోషించింది.

జీరో-డే దోపిడీలలో పైప్‌మ్యాజిక్‌ను ఉపయోగించడం ఇదే మొదటిసారి కాదు. గతంలో, ఇది విండోస్ విన్ 32 కెర్నల్ సబ్‌సిస్టమ్ ప్రివిలేజ్ ఎస్కలేషన్ లోపమైన CVE-2025-24983 ను దుర్వినియోగం చేసింది. ఇది మరొక CLFS జీరో-డే దుర్బలత్వం, CVE-2023-28252 ను దోపిడీ చేసిన నోకోయావా రాన్సమ్‌వేర్ దాడులతో కూడా సంబంధం కలిగి ఉంది. అదనంగా, సైబర్ భద్రతా నిపుణులు నివేదించిన ప్రకారం, అదే ముప్పు కారకుడికి ఆపాదించబడిన మునుపటి దాడులలో, CLFS ఎలివేషన్-ఆఫ్-ప్రివిలేజ్ దుర్బలత్వాన్ని ఉపయోగించుకునే ముందు పైప్‌మ్యాజిక్‌ను MSBuild స్క్రిప్ట్ ద్వారా అమలు చేశారు.

దోపిడీ మరియు దాని ప్రభావం

ఈ దాడి స్పష్టంగా CLFS కెర్నల్ డ్రైవర్‌లోని దుర్బలత్వాన్ని లక్ష్యంగా చేసుకుంటుంది. మెమరీ అవినీతిని ఉపయోగించుకోవడం ద్వారా మరియు RtlSetAllBits APIని ఉపయోగించడం ద్వారా, దాడి చేసేవారు దోపిడీ ప్రక్రియ యొక్క టోకెన్‌ను 0xFFFFFFFF తో ఓవర్‌రైట్ చేస్తారు, పూర్తి అధికారాలను మంజూరు చేస్తారు. ఇది వారిని SYSTEM ప్రక్రియలలోకి అసురక్షిత ప్రక్రియలను ఇంజెక్ట్ చేయడానికి అనుమతిస్తుంది, సోకిన యంత్రాన్ని సమర్థవంతంగా నియంత్రిస్తుంది. విజయవంతమైన దోపిడీ తర్వాత, బెదిరింపు నటులు LSASS మెమరీని డంప్ చేయడం ద్వారా మరియు యాదృచ్ఛికంగా ఉత్పత్తి చేయబడిన పొడిగింపుతో సిస్టమ్ ఫైల్‌లను ఎన్‌క్రిప్ట్ చేయడం ద్వారా వినియోగదారు ఆధారాలను సంగ్రహిస్తారు. RansomEXX ransomware కుటుంబానికి లింక్ చేయబడిన TOR డొమైన్‌ను కలిగి ఉన్న రాన్సమ్ నోట్‌ను అప్పుడు వదిలివేస్తారు.

భద్రతా చర్యలు మరియు రక్షణ

దాడి తీవ్రత ఉన్నప్పటికీ, Windows 11, వెర్షన్ 24H2, ఈ నిర్దిష్ట దోపిడీ ద్వారా ప్రభావితం కాదు. ఇది NtQuerySystemInformationలోని నిర్దిష్ట సిస్టమ్ ఇన్ఫర్మేషన్ క్లాస్‌లపై ఉంచబడిన భద్రతా పరిమితుల కారణంగా ఉంది, ఇది SeDebugPrivilege ఉన్న వినియోగదారులకు యాక్సెస్‌ను పరిమితం చేస్తుంది, సాధారణంగా అడ్మినిస్ట్రేటివ్ వినియోగదారులకు మాత్రమే అనుమతి ఇవ్వబడుతుంది.

రాన్సమ్‌వేర్ యాక్టర్లు రాజీ తర్వాత ప్రత్యేక హక్కుల పెరుగుదలకు ప్రాధాన్యత ఇస్తూనే ఉన్నారు, ఎందుకంటే ఇది ప్రారంభ యాక్సెస్‌ను నెట్‌వర్క్‌లో విస్తృత నియంత్రణగా మార్చడానికి వీలు కల్పిస్తుంది. CVE-2025-29824 వంటి దోపిడీలను ఉపయోగించడం ద్వారా, వారు తమ పరిధిని పెంచుకోవచ్చు, ప్రత్యేక ప్రాప్యతను పొందవచ్చు మరియు వినాశకరమైన ప్రభావంతో రాన్సమ్‌వేర్‌ను అమలు చేయవచ్చు. సంస్థలు అప్రమత్తంగా ఉండాలి, భద్రతా ప్యాచ్‌లను వెంటనే వర్తింపజేయాలి, అసాధారణ సిస్టమ్ కార్యకలాపాలను పర్యవేక్షించాలి మరియు అటువంటి అభివృద్ధి చెందుతున్న సైబర్ బెదిరింపుల వల్ల కలిగే నష్టాలను తగ్గించడానికి బలమైన యాక్సెస్ నియంత్రణలను అమలు చేయాలి.

PipeMagic Malware వీడియో

చిట్కా: మీ ధ్వనిని ఆన్ చేసి , వీడియోను పూర్తి స్క్రీన్ మోడ్‌లో చూడండి .