PipeMagic Malware

Sa pamamagitan ng Mezo sa Malware, kahinaan

Isalin To:

Natuklasan ng mga mananaliksik ang isang na-patch na ngayon na kahinaan sa seguridad sa loob ng Windows Common Log File System (CLFS) na aktibong pinagsamantalahan bilang isang zero-day attack. Ginamit ang kapintasan na ito sa mga kampanyang ransomware na nagta-target sa mga partikular na organisasyon sa maraming industriya, kabilang ang mga sektor ng IT at real estate sa United States, mga institusyong pampinansyal sa Venezuela, isang kumpanya ng software ng Espanya at mga retail na negosyo sa Saudi Arabia.

Talaan ng mga Nilalaman

Pag-unawa sa CVE-2025-29824

Kinilala bilang CVE-2025-29824, ang kahinaang ito ay isang depekto sa pagdami ng pribilehiyo sa CLFS na nagbibigay-daan sa mga umaatake na makakuha ng mga pribilehiyo sa antas ng SYSTEM. Tinutugunan at na-patch ng Microsoft ang isyu sa panahon ng pag-update ng Abril 2025 Patch Martes. Ang cybercriminal group sa likod ng mga pag-atakeng ito, na sinusubaybayan sa ilalim ng pangalang Storm-2460, ay nag-deploy ng malware strain na tinatawag na PipeMagic upang samantalahin ang kahinaan sa seguridad at mag-deploy ng mga ransomware payload.

Paano Naganap ang Pag-atake

Habang nananatiling hindi alam ang eksaktong paraan ng paunang pag-access, napagmasdan ng mga mananaliksik na ginamit ng mga umaatake ang cert utility upang mag-download ng malware mula sa isang nakompromisong website ng third-party. Ang malware, isang nagbabantang MSBuild file, ay naglalaman ng isang naka-encrypt na payload na, sa sandaling naisakatuparan, ay naglunsad ng PipeMagic. Ang Trojan na nakabatay sa plugin na ito, na naging aktibo mula noong 2022, ay gumaganap ng isang mahalagang papel sa pagpapadali sa pag-atake.

Hindi ito ang unang pagkakataon ng PipeMagic na ginagamit sa zero-day exploits. Dati, inabuso nito ang CVE-2025-24983, isang depekto sa pagdami ng pribilehiyo ng Windows Win32 Kernel Subsystem. Naugnay din ito sa mga pag-atake ng Nokoyawa ransomware na nagsamantala sa isa pang kahinaan ng zero-day ng CLFS, CVE-2023-28252. Bukod pa rito, iniulat ng mga eksperto sa cybersecurity na sa mga naunang pag-atake na nauugnay sa parehong aktor ng banta, ang PipeMagic ay na-deploy sa pamamagitan ng isang MSBuild script bago pinagsamantalahan ang CLFS elevation-of-privilege vulnerability.

Pagsasamantala at Epekto Nito

Ang pag-atake ay tahasang nagta-target ng isang kahinaan sa CLFS kernel driver. Sa pamamagitan ng pagsasamantala sa katiwalian ng memorya at paggamit ng RtlSetAllBits API, ino-overwrite ng mga umaatake ang token ng proseso ng pagsasamantala ng 0xFFFFFFFF, na nagbibigay ng ganap na mga pribilehiyo. Nagbibigay-daan ito sa kanila na mag-iniksyon ng mga hindi ligtas na proseso sa mga proseso ng SYSTEM, na epektibong kumukontrol sa infected na makina. Kasunod ng matagumpay na pagsasamantala, kinukuha ng mga banta ng aktor ang mga kredensyal ng user sa pamamagitan ng paglalaglag ng LSASS memory at pag-encrypt ng mga file ng system na may random na nabuong extension. Ang isang ransom note na naglalaman ng domain ng TOR na naka-link sa pamilya ng RansomEXX ransomware ay ibinabagsak.

Mga Panukala sa Seguridad at Depensa

Sa kabila ng kalubhaan ng pag-atake, ang Windows 11, bersyon 24H2, ay hindi apektado ng partikular na pagsasamantalang ito. Ito ay dahil sa mga paghihigpit sa seguridad na inilagay sa partikular na Mga Klase ng Impormasyon ng System sa loob ng NtQuerySystemInformation, na naglilimita sa pag-access sa mga user na may SeDebugPrivilege, ang pahintulot na karaniwang ibinibigay lamang sa mga administratibong user.

Patuloy na inuuna ng mga aktor ng ransomware ang post-compromise privilege escalation, dahil nagbibigay-daan ito sa kanila na baguhin ang paunang pag-access sa mas malawak na kontrol sa loob ng isang network. Sa pamamagitan ng paggamit ng mga pagsasamantala tulad ng CVE-2025-29824, maaari nilang palakihin ang kanilang abot, magkaroon ng privileged access, at mag-deploy ng ransomware na may mapangwasak na epekto. Ang mga organisasyon ay dapat manatiling mapagbantay, mag-apply kaagad ng mga patch ng seguridad, pagsubaybay para sa hindi pangkaraniwang aktibidad ng system, at pagpapatupad ng malakas na kontrol sa pag-access upang mabawasan ang mga panganib na dulot ng mga umuusbong na banta sa cyber.