19/08/25
«Лаборатория Касперского» и BI.ZONE совместно исследовали активность бэкдора PipeMagic. «Лаборатория Касперского», которая с 2022 года отслеживает развитие этого вредоноса, выявила ключевые изменения в тактиках его операторов. BI.ZONE провела технический анализ уязвимости CVE-2025-29824, которую злоумышленники использовали в кибератаках.
Первые случаи применения бэкдора PipeMagic зафиксированы в декабре 2022 года против азиатских компаний. В конце 2024 года он атаковал организации в Саудовской Аравии. В 2025 году эксперты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» и специалисты BI.ZONE
зарегистрировали новую активность вредоноса.
Исследователи отмечают, что злоумышленники сохранили интерес к саудовским организациям, а также распространили атаки на новые регионы, в частности на производственные компании в Бразилии. Эксперты отследили эволюцию PipeMagic, выявили ключевые изменения в тактиках злоумышленников и провели
технический анализ CVE-2025-29824. Это одна из 121 уязвимостей, которые Microsoft исправила в апреле 2025 года, но при этом единственная, которую злоумышленники активно использовали в кибератаках.
Брешь эксплуатировалась для повышения привилегий в операционной системе Windows до уровня локального администратора, а затем кражи учетных данных пользователей и шифрования файлов в скомпрометированной системе. Это стало
возможно из-за ошибки в драйвере логирования clfs.sys. Кроме того, в ходе одной из кибератак 2025 года злоумышленники использовали индексный файл справки Microsoft, который может применяться как для дешифрования, так и для исполнения шелл-кода.
Исследователи также обнаружили новые версии загрузчика PipeMagic, замаскированного под приложение ChatGPT. Похожее вредоносное ПО было замечено в кибератаках на организации в Саудовской Аравии в 2024 году.
Леонид Безвершенко, старший эксперт по кибербезопасности в Kaspersky GReAT:
Новая кампания с использованием PipeMagic подтверждает, что злоумышленники продолжают активно использовать и дорабатывать это ВПО. В версию 2024 года внесли изменения, которые позволяют атакующим закрепляться в инфраструктуре жертвы, а также упрощают им горизонтальное перемещение в скомпрометированных сетях.
Павел Блинников, руководитель группы исследования уязвимостей, BI.ZONE:
За последние несколько лет драйвер clfs.sys стал популярной целью у киберпреступников, особенно у тех, чья цель — финансовая выгода. Все чаще в ходу эксплоиты нулевого дня: не только для clfs.sys, но и для других драйверов. Основная цель — повысить привилегии и скрыть следы проникновения. Для защиты мы рекомендуем использовать EDR-решения. Они позволяют обнаружить злоумышленников на ранних этапах атаки и при постэксплуатации.
«Лаборатория Касперского» впервые обнаружила бэкдор PipeMagic в 2022 году в ходе исследования кампании с использованием RansomExx, нацеленной на промышленные организации Юго-Восточной Азии. Злоумышленники
воспользовались уязвимостью CVE-2017-0144, чтобы получить доступ к внутренней инфраструктуре целевых организаций. Бэкдор может применяться как полноценный инструмент для удаленного доступа или как прокси-сервер, позволяющий исполнять широкий спектр команд.
Подробности — на сайте SecureList. Полный текст отчета доступен на «Хабре».
