PipeMagic恶意软件

通过Mezo在恶意软件, 漏洞

翻译为：

研究人员发现了 Windows 通用日志文件系统 (CLFS) 中一个现已修复的安全漏洞，该漏洞曾被攻击者主动利用，发起零日攻击。该漏洞被用于勒索软件攻击活动，针对多个行业的特定组织，包括美国的 IT 和房地产行业、委内瑞拉的金融机构、一家西班牙软件公司以及沙特阿拉伯的零售企业。

了解 CVE-2025-29824

该漏洞编号为 CVE-2025-29824，是 CLFS 中的一个提权漏洞，允许攻击者获取 SYSTEM 级权限。微软已在 2025 年 4 月补丁星期二更新中修复了该问题。此次攻击背后的网络犯罪团伙名为 Storm-2460，他们部署了一个名为 PipeMagic 的恶意软件，利用该安全漏洞并部署勒索软件负载。

袭击如何展开

虽然初始访问的具体方法尚不清楚，但研究人员观察到，攻击者使用证书实用程序从受感染的第三方网站下载恶意软件。该恶意软件是一个威胁性的 MSBuild 文件，包含一个加密的有效载荷，一旦执行就会启动 PipeMagic。这款基于插件的木马自 2022 年以来一直活跃，在促成此次攻击中发挥了核心作用。

这并非 PipeMagic 首次被用于零日漏洞利用。此前，它曾利用 Windows Win32 内核子系统提权漏洞 CVE-2025-24983。此外，它还与 Nokoyawa 勒索软件攻击有关，该攻击利用了另一个 CLFS 零日漏洞 CVE-2023-28252。此外，网络安全专家报告称，在同一威胁行为者早期的攻击中，PipeMagic 是通过 MSBuild 脚本部署的，之后再利用 CLFS 提权漏洞。

剥削及其影响

此次攻击明确针对 CLFS 内核驱动程序中的一个漏洞。通过利用内存损坏和 RtlSetAllBits API，攻击者将漏洞利用进程的令牌覆盖为 0xFFFFFFFF，从而授予完全权限。这使得他们能够将不安全的进程注入 SYSTEM 进程，从而有效地控制受感染的计算机。成功利用漏洞后，威胁行为者会转储 LSASS 内存并使用随机生成的扩展名加密系统文件来提取用户凭证。随后，攻击者会释放一封勒索信，其中包含一个与 RansomEXX 勒索软件家族相关的 TOR 域名。

安全措施和防御

尽管此次攻击十分严重，但 Windows 11 版本 24H2 并未受到此漏洞的影响。这是因为 NtQuerySystemInformation 中特定系统信息类设置了安全限制，限制了拥有 SeDebugPrivilege 权限的用户访问，而该权限通常仅授予管理用户。

勒索软件攻击者持续优先考虑入侵后提升权限，因为这使他们能够将初始访问权限转化为网络内更广泛的控制。通过利用 CVE-2025-29824 等漏洞，他们可以扩大影响范围，获得特权访问权限，并部署勒索软件，造成毁灭性的影响。组织必须保持警惕，及时应用安全补丁，监控异常系统活动，并实施强大的访问控制，以降低此类不断演变的网络威胁带来的风险。