PipeMagic Malware

Đến năm Mezo năm Phần mềm độc hại, Sự dễ bị tổn thương

Dịch sang:

Các nhà nghiên cứu đã phát hiện ra một lỗ hổng bảo mật hiện đã được vá trong Hệ thống tệp nhật ký chung của Windows (CLFS) đã bị khai thác tích cực như một cuộc tấn công zero-day. Lỗ hổng này đã được sử dụng trong các chiến dịch ransomware nhắm vào các tổ chức cụ thể trong nhiều ngành, bao gồm các lĩnh vực CNTT và bất động sản tại Hoa Kỳ, các tổ chức tài chính tại Venezuela, một công ty phần mềm Tây Ban Nha và các doanh nghiệp bán lẻ tại Ả Rập Saudi.

Mục lục

Hiểu về CVE-2025-29824

Được xác định là CVE-2025-29824, lỗ hổng này là lỗ hổng leo thang đặc quyền trong CLFS cho phép kẻ tấn công có được đặc quyền cấp SYSTEM. Microsoft đã giải quyết và vá lỗi trong bản cập nhật Patch Tuesday tháng 4 năm 2025. Nhóm tội phạm mạng đứng sau các cuộc tấn công này, được theo dõi dưới tên Storm-2460, đã triển khai một chủng phần mềm độc hại có tên là PipeMagic để khai thác lỗ hổng bảo mật và triển khai các phần mềm tống tiền.

Cuộc tấn công diễn ra như thế nào

Mặc dù phương pháp truy cập ban đầu chính xác vẫn chưa được biết, các nhà nghiên cứu đã quan sát thấy rằng những kẻ tấn công đã sử dụng tiện ích cert để tải xuống phần mềm độc hại từ một trang web của bên thứ ba bị xâm phạm. Phần mềm độc hại, một tệp MSBuild đe dọa, chứa một tải trọng được mã hóa, sau khi thực thi, sẽ khởi chạy PipeMagic. Trojan dựa trên plugin này, đã hoạt động từ năm 2022, đóng vai trò trung tâm trong việc tạo điều kiện cho cuộc tấn công.

Đây không phải là lần đầu tiên PipeMagic được sử dụng trong các khai thác zero-day. Trước đây, nó đã lạm dụng CVE-2025-24983, một lỗ hổng leo thang đặc quyền của Windows Win32 Kernel Subsystem. Nó cũng có liên quan đến các cuộc tấn công ransomware Nokoyawa khai thác một lỗ hổng zero-day CLFS khác, CVE-2023-28252. Ngoài ra, các chuyên gia an ninh mạng đã báo cáo rằng trong các cuộc tấn công trước đó được cho là do cùng một tác nhân đe dọa, PipeMagic đã được triển khai thông qua một tập lệnh MSBuild trước khi khai thác lỗ hổng leo thang đặc quyền CLFS.

Khai thác và tác động của nó

Cuộc tấn công nhắm mục tiêu rõ ràng vào lỗ hổng trong trình điều khiển hạt nhân CLFS. Bằng cách khai thác lỗi bộ nhớ và sử dụng API RtlSetAllBits, kẻ tấn công ghi đè mã thông báo của quy trình khai thác bằng 0xFFFFFFFF, cấp toàn quyền. Điều này cho phép chúng đưa các quy trình không an toàn vào các quy trình HỆ THỐNG, thực sự chiếm quyền kiểm soát máy bị nhiễm. Sau khi khai thác thành công, kẻ tấn công trích xuất thông tin xác thực của người dùng bằng cách đổ bộ nhớ LSASS và mã hóa các tệp hệ thống bằng phần mở rộng được tạo ngẫu nhiên. Sau đó, một ghi chú tiền chuộc chứa tên miền TOR được liên kết với họ ransomware RansomEXX sẽ bị xóa.

Biện pháp an ninh và phòng thủ

Mặc dù cuộc tấn công rất nghiêm trọng, Windows 11, phiên bản 24H2, không bị ảnh hưởng bởi khai thác cụ thể này. Điều này là do các hạn chế bảo mật được đặt trên các Lớp thông tin hệ thống cụ thể trong NtQuerySystemInformation, hạn chế quyền truy cập đối với người dùng có SeDebugPrivilege, quyền thường chỉ được cấp cho người dùng quản trị.

Các tác nhân ransomware tiếp tục ưu tiên việc leo thang đặc quyền sau khi xâm phạm, vì điều này cho phép chúng chuyển đổi quyền truy cập ban đầu thành quyền kiểm soát rộng hơn trong mạng. Bằng cách tận dụng các khai thác như CVE-2025-29824, chúng có thể leo thang phạm vi tiếp cận, giành được quyền truy cập đặc quyền và triển khai ransomware với tác động tàn phá. Các tổ chức phải luôn cảnh giác, áp dụng các bản vá bảo mật kịp thời, theo dõi hoạt động bất thường của hệ thống và thực thi các biện pháp kiểm soát truy cập mạnh mẽ để giảm thiểu rủi ro do các mối đe dọa mạng đang phát triển như vậy gây ra.