มัลแวร์ PipeMagic
นักวิจัยได้ค้นพบช่องโหว่ด้านความปลอดภัยในระบบ Windows Common Log File System (CLFS) ซึ่งได้รับการแก้ไขแล้ว และถูกโจมตีแบบ zero-day ช่องโหว่นี้ถูกใช้ในแคมเปญแรนซัมแวร์ที่กำหนดเป้าหมายองค์กรเฉพาะต่างๆ ในหลายอุตสาหกรรม รวมถึงภาคไอทีและอสังหาริมทรัพย์ในสหรัฐอเมริกา สถาบันการเงินในเวเนซุเอลา บริษัทซอฟต์แวร์ของสเปน และธุรกิจค้าปลีกในซาอุดีอาระเบีย
สารบัญ
ทำความเข้าใจ CVE-2025-29824
ช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-29824 ซึ่งเป็นช่องโหว่ในการเพิ่มสิทธิ์ใน CLFS ที่ทำให้ผู้โจมตีสามารถรับสิทธิ์ในระดับระบบได้ Microsoft ได้จัดการและแก้ไขปัญหานี้แล้วในระหว่างการอัปเดต Patch Tuesday ประจำเดือนเมษายน 2025 กลุ่มอาชญากรทางไซเบอร์ที่อยู่เบื้องหลังการโจมตีเหล่านี้ ซึ่งติดตามภายใต้ชื่อ Storm-2460 ได้ใช้มัลแวร์สายพันธุ์ที่เรียกว่า PipeMagic เพื่อใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยและปรับใช้เพย์โหลดแรนซัมแวร์
การโจมตีเกิดขึ้นได้อย่างไร
แม้ว่าวิธีการเข้าถึงเบื้องต้นที่แน่นอนยังคงไม่เป็นที่ทราบแน่ชัด แต่ผู้วิจัยได้สังเกตว่าผู้โจมตีใช้ยูทิลิตี้ใบรับรองเพื่อดาวน์โหลดมัลแวร์จากเว็บไซต์ของบุคคลที่สามที่ถูกบุกรุก มัลแวร์ซึ่งเป็นไฟล์ MSBuild ที่เป็นอันตรายนั้นมีเพย์โหลดที่เข้ารหัสซึ่งเมื่อดำเนินการแล้ว จะเปิด PipeMagic ขึ้นมา โทรจันที่ใช้ปลั๊กอินนี้ซึ่งเปิดใช้งานมาตั้งแต่ปี 2022 มีบทบาทสำคัญในการอำนวยความสะดวกในการโจมตี
นี่ไม่ใช่ครั้งแรกที่ PipeMagic ถูกนำไปใช้ในการโจมตีแบบ zero-day ก่อนหน้านี้ PipeMagic เคยใช้ช่องโหว่ CVE-2025-24983 ซึ่งเป็นช่องโหว่ Windows Win32 Kernel Subsystem ในการเพิ่มสิทธิ์ นอกจากนี้ PipeMagic ยังเกี่ยวข้องกับการโจมตีด้วยแรนซัมแวร์ Nokoyawa ที่ใช้ประโยชน์จากช่องโหว่ CLFS zero-day อีกช่องโหว่หนึ่ง คือ CVE-2023-28252 นอกจากนี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ยังรายงานว่าในการโจมตีก่อนหน้านี้ที่ระบุว่าผู้ก่อภัยคุกคามรายเดียวกันนั้น PipeMagic ถูกนำไปใช้งานผ่านสคริปต์ MSBuild ก่อนที่จะใช้ประโยชน์จากช่องโหว่การเพิ่มสิทธิ์ CLFS
การใช้ประโยชน์และผลกระทบ
การโจมตีนี้มุ่งเป้าไปที่ช่องโหว่ในไดรเวอร์เคอร์เนล CLFS อย่างชัดเจน โดยใช้ประโยชน์จากการคอร์รัปชันหน่วยความจำและใช้ RtlSetAllBits API ผู้โจมตีจะเขียนทับโทเค็นของกระบวนการโจมตีด้วย 0xFFFFFFFF ทำให้ได้รับสิทธิ์เต็มรูปแบบ ซึ่งจะทำให้พวกเขาสามารถแทรกกระบวนการที่ไม่ปลอดภัยเข้าไปในกระบวนการของระบบได้ ส่งผลให้สามารถควบคุมเครื่องที่ติดไวรัสได้อย่างมีประสิทธิภาพ หลังจากการโจมตีสำเร็จ ผู้ก่อภัยคุกคามจะดึงข้อมูลประจำตัวของผู้ใช้โดยการถ่ายโอนหน่วยความจำ LSASS และเข้ารหัสไฟล์ระบบด้วยนามสกุลไฟล์ที่สร้างแบบสุ่ม จากนั้นจึงปล่อยบันทึกเรียกค่าไถ่ที่มีโดเมน TOR ที่เชื่อมโยงกับตระกูลแรนซัมแวร์ RansomEXX
มาตรการรักษาความปลอดภัยและการป้องกัน
แม้ว่าการโจมตีจะรุนแรง แต่ Windows 11 เวอร์ชัน 24H2 ก็ไม่ได้รับผลกระทบจากการโจมตีนี้ เนื่องมาจากข้อจำกัดด้านความปลอดภัยที่วางไว้กับคลาสข้อมูลระบบเฉพาะภายใน NtQuerySystemInformation ซึ่งจำกัดการเข้าถึงเฉพาะผู้ใช้ที่มี SeDebugPrivilege ซึ่งโดยปกติจะให้สิทธิ์แก่ผู้ใช้ระดับผู้ดูแลระบบเท่านั้น
ผู้ก่ออาชญากรรมแรนซัมแวร์ยังคงให้ความสำคัญกับการเพิ่มสิทธิ์หลังจากถูกบุกรุก เนื่องจากการกระทำดังกล่าวช่วยให้พวกเขาเปลี่ยนการเข้าถึงเริ่มต้นเป็นการควบคุมที่กว้างขึ้นภายในเครือข่ายได้ โดยใช้ประโยชน์จากช่องโหว่เช่น CVE-2025-29824 พวกเขาสามารถเพิ่มการเข้าถึง ได้รับสิทธิ์การเข้าถึงที่มีสิทธิพิเศษ และใช้แรนซัมแวร์ที่มีผลกระทบร้ายแรง องค์กรต่างๆ ต้องเฝ้าระวังอยู่เสมอ โดยติดตั้งแพตช์ความปลอดภัยทันที ตรวจสอบกิจกรรมระบบที่ผิดปกติ และบังคับใช้การควบคุมการเข้าถึงที่เข้มงวดเพื่อลดความเสี่ยงที่เกิดจากภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป
มัลแวร์ PipeMagic วิดีโอ
เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ
