Эксперты «Лаборатории Касперского» и BI.ZONE предупредили об активности бэкдора PipeMagic. «Лаборатория Касперского» отмечает развитие вредоноса и ключевые изменения в тактиках его операторов, а BI.ZONE провела технический анализ уязвимости CVE-2025-29824, которую злоумышленники использовали в атаках.
Впервые PipeMagic был обнаружен экспертами «Лаборатории Касперского» еще в 2022 году, и тогда применялся против азиатских компаний. Вредонос способен собирать конфиденциальные данные, предоставлять злоумышленникам полный удаленный доступ к зараженным устройствам, работать как прокси-сервер и развертывать дополнительные полезные нагрузки для бокового перемещения в сетях жертв.
В 2023 году специалисты сообщали, что применение PipeMagic наблюдалось в атаках вымогателя Nokoyawa, когда злоумышленники использовали уязвимость нулевого дня в Windows, связанную с повышением привилегий в драйвере файловой системы Common Log (CVE-2023-28252).
В конце 2024 года PipeMagic атаковал организации в Саудовской Аравии, а теперь эксперты зарегистрировали новую активность вредоноса.
Исследователи отмечают, что злоумышленники по-прежнему сохраняют интерес к саудовским организациям, но также распространили атаки на новые регионы, в частности на производственные компании в Бразилии.
Уже упомянутая выше уязвимость CVE-2025-29824 была исправлена компанией Microsoft в апреле 2025 года, и именно ее злоумышленники активно использовали в своих атаках.
CVE-2025-29824, связанная с ошибкой в драйвере логирования clfs.sys, применялась для повышения привилегий в Windows до уровня локального администратора и последующего хищения учетных данных пользователей и шифрования файлов в скомпрометированной системе.
Также отмечается, что в ходе одной из атак 2025 года злоумышленники использовали индексный файл справки Microsoft, который может применяться как для дешифрования, так и для исполнения шелл-кода.
«Новая кампания с использованием PipeMagic подтверждает, что злоумышленники продолжают активно использовать и дорабатывать это ВПО. В версию 2024 года внесли изменения, которые позволяют атакующим закрепляться в инфраструктуре жертвы, а также упрощают им горизонтальное перемещение в скомпрометированных сетях», — комментирует Леонид Безвершенко, старший эксперт по кибербезопасности в Kaspersky GReAT.
«За последние несколько лет драйвер clfs.sys стал популярной целью у киберпреступников, особенно у тех, чья цель — финансовая выгода. Все чаще в ходу эксплоиты нулевого дня: не только для clfs.sys, но и для других драйверов. Основная цель — повысить привилегии и скрыть следы проникновения», — добавляет Павел Блинников, руководитель группы исследования уязвимостей, BI.ZONE.