Эксперты Kaspersky GReAT выявили изменения в тактиках операторов PipeMagic
«Лаборатория Касперского» и BI.ZONE совместно исследовали активность бэкдора PipeMagic. «Лаборатория Касперского», которая с 2022 года отслеживает развитие этого вредоноса, выявила ключевые изменения в тактиках его операторов. BI.ZONE провела технический анализ уязвимости CVE-2025-29824, которую злоумышленники использовали в кибератаках.
Первые случаи применения бэкдора PipeMagic зафиксированы в декабре 2022 года против азиатских компаний. В конце 2024 года он атаковал организации в Саудовской Аравии. В 2025 году эксперты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» и специалисты BI.ZONE зарегистрировали новую активность вредоноса.
Исследователи отмечают, что злоумышленники сохранили интерес к саудовским организациям, а также распространили атаки на новые регионы, в частности на производственные компании в Бразилии. Эксперты отследили эволюцию PipeMagic, выявили ключевые изменения в тактиках злоумышленников и провели технический анализ CVE-2025-29824. Это одна из 121 уязвимостей, которые Microsoft исправила в апреле 2025 года, но при этом единственная, которую злоумышленники активно использовали в кибератаках.
Брешь эксплуатировалась для повышения привилегий в операционной системе Windows до уровня локального администратора, а затем кражи учётных данных пользователей и шифрования файлов в скомпрометированной системе. Это стало возможно из-за ошибки в драйвере логирования clfs.sys. Кроме того, в ходе одной из кибератак 2025 года злоумышленники использовали индексный файл справки Microsoft, который может применяться как для дешифрования, так и для исполнения шелл-кода.
Исследователи также обнаружили новые версии загрузчика PipeMagic, замаскированного под приложение ChatGPT. Похожее вредоносное ПО было замечено в кибератаках на организации в Саудовской Аравии в 2024 году.
«Новая кампания с использованием PipeMagic подтверждает, что злоумышленники продолжают активно использовать и дорабатывать это ВПО. В версию 2024 года внесли изменения, которые позволяют атакующим закрепляться в инфраструктуре жертвы, а также упрощают им горизонтальное перемещение в скомпрометированных сетях», — прокомментировал Леонид Безвершенко, старший эксперт по кибербезопасности в Kaspersky GReAT.
«За последние несколько лет драйвер clfs.sys стал популярной целью у киберпреступников, особенно у тех, чья цель — финансовая выгода. Все чаще в ходу эксплоиты нулевого дня: не только для clfs.sys, но и для других драйверов. Основная цель — повысить привилегии и скрыть следы проникновения. Для защиты мы рекомендуем использовать EDR-решения. Они позволяют обнаружить злоумышленников на ранних этапах атаки и при постэксплуатации», — рассказал Павел Блинников, руководитель группы исследования уязвимостей, BI.ZONE.
«Лаборатория Касперского» впервые обнаружила бэкдор PipeMagic в 2022 году в ходе исследования кампании с использованием RansomExx, нацеленной на промышленные организации Юго-Восточной Азии. Злоумышленники воспользовались уязвимостью CVE-2017-0144, чтобы получить доступ к внутренней инфраструктуре целевых организаций. Бэкдор может применяться как полноценный инструмент для удалённого доступа или как прокси-сервер, позволяющий исполнять широкий спектр команд.
Подробности — на сайте SecureList.
О KasperskyGReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 30 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
