Cybersecurity-onderzoekers hebben het deksel opgeheven over de exploitatie door de dreiging acteurs van een nu geëgreeperde beveiligingsfout in Microsoft Windows om de pipemagische malware te implementeren in ransomexx ransomware-aanvallen.
De aanvallen omvatten de exploitatie van CVE-2025-29824, een kwetsbaarheid voor escalatie van het privilege dat van invloed is op het Windows Common Log File System (CLFS) dat in april 2025 door Microsoft werd aangepakt, zeiden Kaspersky en Bi.Zone in een gezamenlijk rapport dat vandaag is gepubliceerd.
Pipemagic werd voor het eerst gedocumenteerd in 2022 als onderdeel van Ransomexx-ransomware-aanvallen gericht op industriële bedrijven in Zuidoost-Azië, in staat om op te treden als een volwaardige achterdeur die externe toegang biedt en een breed scala aan commando’s op gecompromitteerde hosts uitvoert.
Bij die aanvallen zijn de dreigingsacteurs gevonden om CVE-2017-0144, een externe code-uitvoeringsfout in Windows SMB, te exploiteren om slachtoffer-infrastructuur te infiltreren. Daaropvolgende infectieketens waargenomen in oktober 2024 in Saoedi -Arabië werden gespot met behulp van een nep Openai Chatgpt -app als aas om de malware te leveren.
Eerder in april schreef Microsoft de exploitatie van CVE-2025-29824 en de inzet van pipemagisch aan een dreigingsacteur die het volgt als storm-2460.
“Een uniek kenmerk van Pipemagic is dat het een willekeurige 16-byte array genereert die wordt gebruikt om een benoemde pijp te maken die is geformatteerd als: \. Pipe 1. & lt; hex string & gt;,” zei onderzoekers Sergey Lozhkin, Leonid Bezvershenko, Kirill Korchemny en ilya Savelyev. “Daarna wordt een thread gelanceerd die continu deze pijp maakt, probeert er gegevens van te lezen en deze vervolgens te vernietigen. Deze communicatiemethode is nodig voor de achterdeur om gecodeerde payloads en meldingen te verzenden.”
Pipemagic is een op plug-in gebaseerde modulaire malware die een domein gebruikt dat op de Microsoft Azure Cloud Provider wordt gehost om de extra componenten te organiseren, met 2025 aanvallen gericht op Saoedi-Arabië en Brazilië die op een Microsoft Help-indexbestand (“Metafile.mshi”) als loader vertrouwt. De lader pakt op zijn beurt de C# -code uit die de ingesloten shellcode ontsleutelt en uitvoert.
“De geïnjecteerde shellcode is uitvoerbare code voor 32-bits Windows-systemen,” zeiden de onderzoekers. “Het laadt een niet -gecodeerd uitvoerbaar ingebed in de shellcode zelf.”
Kaspersky zei dat het ook pipemagische lader -artefacten heeft ontdekt die zich in 2025 als een chatgpt -client bevordert die vergelijkbaar zijn met die die eerder in oktober 2024 werden gezien. De monsters zijn waargenomen met behulp van DLL -kapingtechnieken om een kwaadwillende dll uit te voeren die een kwaadwillende dll uitvoert die een Google Chrome -updatebestand (“GoogleUpdate.Dll”).
Ongeacht de gebruikte laadmethode leidt het allemaal tot de inzet van de pipemagische achterdeur die verschillende modules ondersteunt –
- Asynchrone communicatiemodule die vijf opdrachten ondersteunt om de plug -in te beëindigen, bestanden te lezen/te schrijven, een bestandsbewerking te beëindigen of alle bestandsbewerkingen te beëindigen
- Ladermodule om extra payloads in het geheugen te injecteren en ze uit te voeren
- Injector -module om een C# uitvoerbaar te starten
“De herhaalde detectie van pipemagisch in aanvallen op organisaties in Saoedi -Arabië en het uiterlijk in Brazilië geeft aan dat de malware actief blijft en dat de aanvallers zijn functionaliteit blijven ontwikkelen,” zeiden de onderzoekers.
“De versies die in 2025 zijn gedetecteerd, tonen verbeteringen ten opzichte van de 2024 -versie, gericht op het aanhouden van slachtoffersystemen en lateraal bewegen binnen interne netwerken. In de 2025 -aanvallen gebruikten de aanvallers de Procdump -tool, omgedoopt tot dllhost.exe, om geheugen uit het LSASS -proces te extraheren.”
