Шкідлива програма PipeMagic

До Mezo року в Шкідливе програмне забезпечення, Вразливість році

Перекласти на:

Дослідники виявили виправлену вразливість системи безпеки Windows Common Log File System (CLFS), яка активно використовувалася як атака нульового дня. Цей недолік використовувався в кампаніях програм-вимагачів, націлених на конкретні організації в багатьох галузях, включаючи сектори ІТ і нерухомості в Сполучених Штатах, фінансові установи у Венесуелі, іспанську компанію з програмного забезпечення та роздрібні підприємства в Саудівській Аравії.

Зміст

Розуміння CVE-2025-29824

Ідентифікована як CVE-2025-29824, ця вразливість є дефектом ескалації привілеїв у CLFS, який дозволяє зловмисникам отримати привілеї на рівні СИСТЕМИ. Корпорація Майкрософт вирішила та виправила проблему під час оновлення у вівторок у квітні 2025 року. Група кіберзлочинців, яка стоїть за цими атаками, яку відстежують під назвою Storm-2460, розгорнула різновид зловмисного програмного забезпечення під назвою PipeMagic, щоб використовувати вразливість системи безпеки та розгортати програми-вимагачі.

Як розгортався напад

Хоча точний метод початкового доступу залишається невідомим, дослідники помітили, що зловмисники використовували утиліту сертифікації для завантаження зловмисного програмного забезпечення зі зламаного веб-сайту третьої сторони. Зловмисне програмне забезпечення, загрозливий файл MSBuild, містило зашифроване корисне навантаження, яке після виконання запускало PipeMagic. Цей троян на основі плагінів, який був активний з 2022 року, відіграв центральну роль у сприянні атаки.

Це не перший випадок використання PipeMagic в експлойтах нульового дня. Раніше він зловживав CVE-2025-24983, недоліком ескалації привілеїв підсистеми ядра Windows Win32. Це також було пов’язано з атаками програм-вимагачів Nokoyawa, які використовували іншу вразливість CLFS нульового дня, CVE-2023-28252. Крім того, експерти з кібербезпеки повідомили, що в попередніх атаках, пов’язаних з тим самим загрозником, PipeMagic було розгорнуто за допомогою сценарію MSBuild перед використанням уразливості CLFS щодо підвищення привілеїв.

Експлуатація та її вплив

Атака явно спрямована на вразливість у драйвері ядра CLFS. Використовуючи пошкодження пам’яті та API RtlSetAllBits, зловмисники перезаписують маркер процесу експлойту 0xFFFFFFFF, надаючи повні привілеї. Це дозволяє їм впроваджувати небезпечні процеси в процеси SYSTEM, фактично переймаючи контроль над зараженою машиною. Після успішної експлуатації зловмисники витягують облікові дані користувача, скидаючи пам’ять LSASS і шифруючи системні файли за допомогою випадково згенерованого розширення. Записка про викуп, що містить домен TOR, пов’язаний із сімейством програм-вимагачів RansomEXX, видаляється.

Заходи безпеки та оборони

Незважаючи на серйозність атаки, Windows 11 версії 24H2 не постраждала від цієї конкретної експлуатації. Це пов’язано з обмеженнями безпеки, накладеними на певні класи системної інформації в NtQuerySystemInformation, які обмежують доступ користувачам із SeDebugPrivilege, дозволом, який зазвичай надається лише адміністраторам.

Актори програм-вимагачів продовжують надавати перевагу ескалації привілеїв після зламу, оскільки це дає їм змогу перетворити початковий доступ на ширший контроль у мережі. Використовуючи такі експлойти, як CVE-2025-29824, вони можуть розширити охоплення, отримати привілейований доступ і розгорнути програмне забезпечення-вимагач із руйнівним впливом. Організації повинні залишатися пильними, негайно застосовуючи виправлення безпеки, відстежуючи незвичайну активність системи та запроваджуючи жорсткі засоби контролю доступу, щоб зменшити ризики, пов’язані з такими кіберзагрозами, що розвиваються.