Хакерская группа, отслеживаемая Microsoft под кодовым названием Storm-2460, активно использует уязвимость в Microsoft Windows, которая была исправлена еще в апреле 2025 года. Целью атак является развертывание модульного бэкдора PipeMagic, являющегося компонентом атак программы-вымогателя RansomExx. Совместный отчет компаний Kaspersky и раскрывает детали этой продолжающейся кампании.
Центральным элементом атак является уязвимость CVE-2025-29824. Она представляет собой ошибку повышения привилегий в компоненте Windows Common Log File System (CLFS). Несмотря на то, что Microsoft выпустила патч для ее устранения, злоумышленники продолжают эксплуатировать ее на непропатченных системах для получения контроля над ними. Microsoft атрибутировала эксплуатацию этой уязвимости группировке Storm-2460 в начале апреля 2025 года.
Основным инструментом злоумышленников выступает PipeMagic — плагинный модульный бэкдор. Это вредоносное ПО предоставляет операторам полный удаленный доступ к скомпрометированной системе и возможность выполнения широкого спектра команд. Для размещения дополнительных компонентов и модулей PipeMagic использует домен, размещенный на платформе Microsoft Azure.
Технически PipeMagic использует именованные каналы (named pipes) для связи. Бэкдор генерирует случайный 16-байтовый массив и создает именованный канал в формате
Архитектура вредоносного ПО включает три ключевых модуля. Модуль асинхронной связи поддерживает пять команд: завершение работы плагина, чтение/запись файлов, а также прерывание одной или всех файловых операций. Модуль-загрузчик отвечает за внедрение и выполнение дополнительных полезных нагрузок непосредственно в памяти. Третий, модуль-инжектор, предназначен для запуска исполняемых файлов, написанных на C.
Первые задокументированные атаки с использованием PipeMagic в рамках кампаний RansomExx произошли в 2022 году. Тогда целями становились промышленные компании в Юго-Восточной Азии, а первоначальным вектором заражения служила эксплуатация уязвимости CVE-2017-0144, связанной с удаленным выполнением кода в протоколе Windows SMB.
Эволюция тактики злоумышленников была отмечена в октябре 2024 года, когда была зафиксирована атака на организацию в Саудовской Аравии. В качестве приманки для заражения использовалось поддельное приложение OpenAI ChatGPT, что свидетельствует о переходе к методам социальной инженерии.
В 2025 году атаки возобновились с новой силой, затронув цели в Саудовской Аравии и Бразилии. На этот раз основным вектором стала эксплуатация уязвимости CVE-2025-29824. Для доставки вредоносного ПО использовались два метода. Первый — через файл индекса справки Microsoft ("metafile.mshi"), который действовал как загрузчик, распаковывающий C-код для выполнения встроенного шеллкода для 32-битных систем Windows.
Второй метод доставки в 2025 году вновь задействовал поддельный клиент ChatGPT. Однако на этот раз злоумышленники применили технику DLL hijacking (перехват DLL). Вредоносная библиотека с именем "googleupdate.dll" маскировалась под файл обновления Google Chrome для обмана систем защиты и пользователей.
После успешного проникновения в систему атакующие использовали утилиту ProcDump, переименованную в "dllhost.exe". Ее задачей было извлечение данных из памяти процесса Local Security Authority Subsystem Service (LSASS). Этот метод является стандартной тактикой для кражи учетных данных и дальнейшего продвижения по сети.
Исследователи Сергей Ложкин, Леонид Безвершенко, Кирилл Корчемный и Илья Савельев утверждают, что PipeMagic остается активной угрозой и находится в постоянном развитии. Повторяющиеся атаки в Саудовской Аравии и новые инциденты в Бразилии подтверждают этот вывод. Версии вредоноса 2025 года демонстрируют значительные улучшения по сравнению с версией 2024 года, направленные на обеспечение устойчивого присутствия в скомпрометированных системах и боковое перемещение внутри внутренних сетей жертв.
Изображение носит иллюстративный характер
Центральным элементом атак является уязвимость CVE-2025-29824. Она представляет собой ошибку повышения привилегий в компоненте Windows Common Log File System (CLFS). Несмотря на то, что Microsoft выпустила патч для ее устранения, злоумышленники продолжают эксплуатировать ее на непропатченных системах для получения контроля над ними. Microsoft атрибутировала эксплуатацию этой уязвимости группировке Storm-2460 в начале апреля 2025 года.
Основным инструментом злоумышленников выступает PipeMagic — плагинный модульный бэкдор. Это вредоносное ПО предоставляет операторам полный удаленный доступ к скомпрометированной системе и возможность выполнения широкого спектра команд. Для размещения дополнительных компонентов и модулей PipeMagic использует домен, размещенный на платформе Microsoft Azure.
Технически PipeMagic использует именованные каналы (named pipes) для связи. Бэкдор генерирует случайный 16-байтовый массив и создает именованный канал в формате
\\.\pipe\1.<шестнадцатеричная строка>. Через этот канал передаются зашифрованные полезные нагрузки и уведомления, обеспечивая скрытое управление. Архитектура вредоносного ПО включает три ключевых модуля. Модуль асинхронной связи поддерживает пять команд: завершение работы плагина, чтение/запись файлов, а также прерывание одной или всех файловых операций. Модуль-загрузчик отвечает за внедрение и выполнение дополнительных полезных нагрузок непосредственно в памяти. Третий, модуль-инжектор, предназначен для запуска исполняемых файлов, написанных на C.
Первые задокументированные атаки с использованием PipeMagic в рамках кампаний RansomExx произошли в 2022 году. Тогда целями становились промышленные компании в Юго-Восточной Азии, а первоначальным вектором заражения служила эксплуатация уязвимости CVE-2017-0144, связанной с удаленным выполнением кода в протоколе Windows SMB.
Эволюция тактики злоумышленников была отмечена в октябре 2024 года, когда была зафиксирована атака на организацию в Саудовской Аравии. В качестве приманки для заражения использовалось поддельное приложение OpenAI ChatGPT, что свидетельствует о переходе к методам социальной инженерии.
В 2025 году атаки возобновились с новой силой, затронув цели в Саудовской Аравии и Бразилии. На этот раз основным вектором стала эксплуатация уязвимости CVE-2025-29824. Для доставки вредоносного ПО использовались два метода. Первый — через файл индекса справки Microsoft ("metafile.mshi"), который действовал как загрузчик, распаковывающий C-код для выполнения встроенного шеллкода для 32-битных систем Windows.
Второй метод доставки в 2025 году вновь задействовал поддельный клиент ChatGPT. Однако на этот раз злоумышленники применили технику DLL hijacking (перехват DLL). Вредоносная библиотека с именем "googleupdate.dll" маскировалась под файл обновления Google Chrome для обмана систем защиты и пользователей.
После успешного проникновения в систему атакующие использовали утилиту ProcDump, переименованную в "dllhost.exe". Ее задачей было извлечение данных из памяти процесса Local Security Authority Subsystem Service (LSASS). Этот метод является стандартной тактикой для кражи учетных данных и дальнейшего продвижения по сети.
Исследователи Сергей Ложкин, Леонид Безвершенко, Кирилл Корчемный и Илья Савельев утверждают, что PipeMagic остается активной угрозой и находится в постоянном развитии. Повторяющиеся атаки в Саудовской Аравии и новые инциденты в Бразилии подтверждают этот вывод. Версии вредоноса 2025 года демонстрируют значительные улучшения по сравнению с версией 2024 года, направленные на обеспечение устойчивого присутствия в скомпрометированных системах и боковое перемещение внутри внутренних сетей жертв.
