PipeMagic вернулся: уязвимость Windows использована в кибератаках 2025 года

Новая волна активности бэкдора PipeMagic зафиксирована специалистами «Лаборатории Касперского» и BI.ZONE. Впервые обнаруженный в 2022 году в атаках на азиатские компании, вредонос отметился атаками на организации в Саудовской Аравии в конце 2024 года. В 2025 году активность продолжилась, расширив географию атак до Бразилии. Эксперты подчёркивают, что, не теряя интереса к Саудовской Аравии, злоумышленники активно осваивают новые регионы и инструменты.

Одним из ключевых элементов стало использование уязвимости CVE-2025-29824 в драйвере clfs.sys, устранённой Microsoft в апреле 2025 года. Эта ошибка позволяла злоумышленникам получать права локального администратора, похищать учётные данные и шифровать файлы. В некоторых случаях для запуска вредоносного кода использовались индексные файлы справки Microsoft. Кроме того, обнаружены новые версии загрузчика PipeMagic, искусно замаскированные под приложение ChatGPT, что напоминает тактику, применявшуюся в Саудовской Аравии в 2024 году.

Леонид Безвершенко из Kaspersky GReAT отмечает постоянное развитие PipeMagic, указывая на добавление в обновлённые версии механизмов закрепления в инфраструктуре и упрощения перемещения по сети. Павел Блинников из BI.ZONE подчёркивает, что драйвер clfs.sys в последние годы стал привлекательной целью для злоумышленников, стремящихся к финансовой выгоде, с использованием, в том числе, 0-day эксплойтов. Основной целью является повышение привилегий и сокрытие следов.

Впервые PipeMagic был замечен в 2022 году в связке с RansomExx, при атаках на промышленные компании в Юго-Восточной Азии. Бэкдор способен функционировать как инструмент удалённого доступа или прокси, выполняя широкий спектр вредоносных команд.