PipeMagic惡意軟體

惡意軟體, 漏洞年Mezo年

翻譯為：

研究人員發現 Windows 通用日誌檔案系統 (CLFS) 中存在一個現已修補的安全漏洞，該漏洞曾被積極利用作為零時差攻擊。該漏洞被用於針對多個行業特定組織的勒索軟體活動，包括美國的 IT 和房地產行業、委內瑞拉的金融機構、西班牙的軟體公司和沙烏地阿拉伯的零售企業。

了解 CVE-2025-29824

此漏洞編號為 CVE-2025-29824，是 CLFS 中的權限提升缺陷，可讓攻擊者取得 SYSTEM 等級權限。微軟在 2025 年 4 月補丁星期二更新期間解決並修補了這個問題。這些攻擊背後的網路犯罪集團名為 Storm-2460，部署了一種名為 PipeMagic 的惡意軟體來利用安全漏洞並部署勒索軟體負載。

攻擊如何展開

雖然初始訪問的具體方法仍然未知，但研究人員觀察到攻擊者使用憑證實用程式從受感染的第三方網站下載惡意軟體。該惡意軟體是一個威脅性的 MSBuild 文件，包含加密的有效負載，一旦執行就會啟動 PipeMagic。這款基於插件的木馬自 2022 年以來一直活躍，在促進攻擊中發揮了核心作用。

這並不是 PipeMagic 第一次被用於零日漏洞攻擊。先前，它濫用了 Windows Win32 核心子系統權限提升漏洞 CVE-2025-24983。它也與利用另一個 CLFS 零時差漏洞 CVE-2023-28252 的 Nokoyawa 勒索軟體攻擊有關。此外，網路安全專家報告稱，在早期歸因於相同威脅行為者的攻擊中，PipeMagic 是在利用 CLFS 特權提升漏洞之前透過 MSBuild 腳本部署的。

剝削及其影響

此次攻擊明確針對 CLFS 核心驅動程式中的漏洞。透過利用記憶體損壞並利用 RtlSetAllBits API，攻擊者用 0xFFFFFFFF 覆蓋漏洞利用進程的令牌，從而授予完全權限。這使得他們能夠將不安全的進程注入系統進程，從而有效地控制受感染的機器。成功利用後，威脅行為者透過轉儲 LSASS 記憶體並使用隨機產生的副檔名加密系統檔案來提取使用者憑證。然後，一封包含與 RansomEXX 勒索軟體家族相關的 TOR 域的勒索信就被丟棄了。

安全措施和防禦

儘管此次攻擊十分嚴重，但 Windows 11 版本 24H2 並未受到此特定漏洞的影響。這是因為 NtQuerySystemInformation 中的特定係統資訊類別受到了安全限制，從而限制了具有 SeDebugPrivilege 的使用者的訪問，而該權限通常僅授予管理使用者。

勒索軟體參與者繼續優先考慮入侵後的權限提升，因為這使他們能夠將初始存取轉變為網路內的更廣泛的控制。透過利用 CVE-2025-29824 等漏洞，他們可以擴大影響範圍、獲得特權存取權並部署具有毀滅性影響的勒索軟體。組織必須保持警惕，及時應用安全補丁，監控異常系統活動，並實施強有力的存取控制，以降低此類不斷演變的網路威脅帶來的風險。