Специалисты по информационной безопасности фиксируют значительное усиление активности опасного бэкдора PipeMagic, который расширил географию своих атак и освоил эксплуатацию критической уязвимости CVE-2025-29824 в операционной системе Windows. Эксперты «Лаборатории Касперского» и BI.ZONE провели комплексный анализ новых тактик киберпреступников и выявили тревожные изменения в методах работы этого вредоносного программного обеспечения.
История развития и эволюция угрозы PipeMagic
Впервые идентифицированный исследователями в 2022 году, бэкдор PipeMagic изначально специализировался на атаках против азиатских корпораций. Однако за три года существования этот многофункциональный вредонос значительно расширил свой арсенал возможностей. Сегодня PipeMagic способен выполнять широкий спектр злонамеренных операций: от сбора конфиденциальной информации до предоставления злоумышленникам полного удаленного контроля над зараженными системами.
Функциональность современной версии включает работу в качестве прокси-сервера и развертывание дополнительных вредоносных модулей для латерального движения по корпоративным сетям. Эти возможности делают PipeMagic особенно опасным для организаций, поскольку позволяют атакующим закрепиться в IT-инфраструктуре и незаметно распространяться между системами.
Связь с вымогательским ПО и использование уязвимостей нулевого дня
В 2023 году аналитики зафиксировали применение PipeMagic в составе атак ransomware-группировки Nokoyawa. Тогда киберпреступники использовали уязвимость нулевого дня CVE-2023-28252 в драйвере файловой системы Common Log операционной системы Windows для повышения привилегий в скомпрометированных системах.
Этот случай продемонстрировал способность операторов PipeMagic быстро адаптироваться к новым векторам атак и интегрировать в свой инструментарий самые современные методы эксплуатации программных уязвимостей.
Текущая кампания: расширение географии и новые цели
Анализ активности конца 2024 — начала 2025 года показывает существенные изменения в стратегии злоумышленников. Если ранее основными целями были организации Саудовской Аравии, то сейчас география атак расширилась до производственных компаний Бразилии. Такое расширение свидетельствует о растущих амбициях и возможностях группировки.
Ключевым инструментом новой волны атак стала уязвимость CVE-2025-29824, устраненная корпорацией Microsoft в апреле 2025 года. Эта критическая брешь в драйвере логирования clfs.sys позволяет злоумышленникам повышать привилегии до уровня локального администратора, что открывает путь к хищению учетных данных и шифрованию файлов в зараженных системах.
Технические особенности новых атак
Исследователи выявили интересную тактическую новацию в арсенале операторов PipeMagic. В ходе недавних атак киберпреступники начали использовать индексные файлы справки Microsoft в качестве векторов для дешифрования и исполнения shell-кода. Этот метод демонстрирует креативный подход к использованию легитимных системных компонентов в злонамеренных целях.
Драйвер clfs.sys стал особенно популярной мишенью среди различных группировок киберпреступников, особенно тех, чья основная мотивация — финансовая выгода. Эксперты отмечают растущую тенденцию использования эксплоитов нулевого дня не только для clfs.sys, но и для других системных драйверов с целью повышения привилегий и сокрытия следов проникновения.
Экспертная оценка и прогнозы развития угрозы
По мнению специалистов, новая кампания с использованием PipeMagic подтверждает непрерывное развитие этого вредоносного ПО. Версия 2024 года получила значительные улучшения, которые облегчают злоумышленникам процесс закрепления в IT-инфраструктуре жертв и упрощают горизонтальное перемещение по скомпрометированным сетям.
Активность PipeMagic требует от организаций повышенной бдительности и внедрения многоуровневых систем защиты. Регулярное обновление программного обеспечения, мониторинг сетевой активности и применение решений для обнаружения и реагирования на конечных точках становятся критически важными мерами для предотвращения успешных атак этого опасного бэкдора.