Експерти з кібербезпеки фіксують критичне посилення активності небезпечного бекдора PipeMagic, який розширив географію своїх атак та почав активно експлуатувати критичну уразливість CVE-2025-29824 у Windows. Дослідження провідних компаній у сфері інформаційної безпеки виявили тривожні зміни в тактиці зловмисників, що свідчить про еволюцію цієї серйозної кіберзагрози.
Еволюція PipeMagic: від регіонального інструменту до глобальної загрози
Бекдор PipeMagic, вперше виявлений у 2022 році, спочатку орієнтувався на атаки проти азіатських корпорацій. За три роки свого існування цей багатофункціональний шкідливий код значно розширив свій функціонал. Сучасна версія здатна виконувати широкий спектр зловмисних операцій: збір конфіденційних даних, надання повного віддаленого контролю над зараженими системами, функціонування як проксі-сервер та розгортання додаткових модулів для латерального руху по корпоративних мережах.
Ця функціональність робить PipeMagic особливо небезпечним для організацій, оскільки дозволяє атакуючим закріплюватися в ІТ-інфраструктурі та непомітно поширюватися між системами.
Зв’язок з ransomware-групами та експлуатація zero-day уразливостей
У 2023 році аналітики зафіксували використання PipeMagic у складі атак вимагального ПЗ групи Nokoyawa. Тоді кіберзлочинці експлуатували zero-day уразливість CVE-2023-28252 у драйвері файлової системи Common Log операційної системи Windows для підвищення привілеїв у скомпрометованих системах.
Цей випадок продемонстрував здатність операторів PipeMagic швидко адаптуватися до нових векторів атак та інтегрувати найсучасніші методи експлуатації програмних уразливостей у свій арсенал.
Поточна кампанія: розширення географії та нові цілі
Аналіз активності кінця 2024 – початку 2025 року показує суттєві зміни у стратегії зловмисників. Якщо раніше основними цілями були організації Саудівської Аравії, то зараз географія атак розширилася до виробничих компаній Бразилії. Таке розширення свідчить про зростаючі амбіції та можливості угруповання.
Ключовим інструментом нової хвилі атак стала уразливість CVE-2025-29824, усунена корпорацією Microsoft у квітні 2025 року. Ця критична брешь у драйвері логування clfs.sys дозволяє зловмисникам підвищувати привілеї до рівня локального адміністратора, що відкриває шлях до викрадення облікових даних та шифрування файлів у заражених системах.
Технічні особливості сучасних атак
Дослідники виявили цікаву тактичну новацію в арсеналі операторів PipeMagic. У ході нещодавніх атак кіберзлочинці почали використовувати індексні файли довідки Microsoft як вектори для дешифрування та виконання shell-коду. Цей метод демонструє креативний підхід до використання легітимних системних компонентів у зловмисних цілях.
Драйвер clfs.sys став особливо популярною мішенню серед різних угруповань кіберзлочинців, особливо тих, чия основна мотивація – фінансова вигода. Експерти відзначають зростаючу тенденцію використання експлойтів zero-day не лише для clfs.sys, але й для інших системних драйверів з метою підвищення привілеїв та приховування слідів проникнення.
Експертна оцінка та рекомендації щодо захисту
На думку спеціалістів, нова кампанія з використанням PipeMagic підтверджує безперервний розвиток цього шкідливого ПЗ. Версія 2024 року отримала значні покращення, які полегшують зловмисникам процес закріплення в ІТ-інфраструктурі жертв та спрощують горизонтальне переміщення по скомпрометованих мережах.
Активність PipeMagic вимагає від організацій підвищеної пильності та впровадження багаторівневих систем захисту. Регулярне оновлення програмного забезпечення, моніторинг мережевої активності та застосування рішень для виявлення та реагування на кінцевих точках стають критично важливими заходами для запобігання успішним атакам цього небезпечного бекдора. Особливу увагу слід приділити своєчасному встановленню патчів безпеки Microsoft та впровадженню принципу найменших привілеїв для користувачів системи.
