Siber güvenlik araştırmacıları, Ransomexx fidye yazılımı saldırılarında pipemagik kötü amaçlı yazılımları dağıtmak için Microsoft Windows’taki şimdi patched güvenlik kusurundan yararlanan tehdit aktörlerinin kullanımı üzerine kapağı kaldırdı.
Saldırılar, Kaspersky ve Bi.zone, bugün yayınlanan ortak bir raporda Microsoft tarafından ele alınan Windows Ortak Günlük Dosyası Sistemini (CLFS) etkileyen bir ayrıcalık yükseltme kırılganlığı olan CVE-2025-29824’ün sömürülmesini içeriyor.
Pipemagic ilk olarak 2022’de Güneydoğu Asya’daki sanayi şirketlerini hedefleyen Ransomexx fidye yazılımı saldırılarının bir parçası olarak belgelendi ve uzaktan erişim sağlayan ve uzlaşmış ana bilgisayarlarda çok çeşitli komutlar sağlayan tam teşekküllü bir arka kapı olarak hareket edebildi.
Bu saldırılarda, tehdit aktörlerinin, kurban altyapısına sızmak için Windows SMB’de bir uzaktan kod yürütme kusuru olan CVE-2017-0144’ü kullandığı bulunmuştur. Suudi Arabistan’da Ekim 2024’te gözlemlenen daha sonraki enfeksiyon zincirleri, kötü amaçlı yazılımları teslim etmek için yem olarak sahte bir openai chatgpt uygulamasından yararlandı.
Bu Nisan ayının başlarında Microsoft, CVE-2025-29824’ün sömürülmesini ve Pipemagik’in Storm-2460 olarak izlediği bir tehdit aktörüne konuşlandırılmasını bağladı.
“Pipemagik’in benzersiz bir özelliği, şu şekilde biçimlendirilmiş adlandırılmış bir boru oluşturmak için kullanılan rastgele 16 baytlık bir dizi üretmesidir: \\. \ Boru \ 1.
Pipemagic, ek bileşenleri sahnelemek için Microsoft Azure bulut sağlayıcısında barındırılan bir alan adı kullanan eklenti tabanlı bir modüler kötü amaçlı yazılımdır, Suudi Arabistan ve Brezilya’ya bir yükleyici olarak bir Microsoft yardım dizin dosyasına (“MetaFile.mshi”) dayanıyor. Yükleyici, sırayla, gömülü kabuk kodunu şifresini çözen ve yürüten C# kodunu açar.
Araştırmacılar, “Enjekte edilen Shellcode 32 bit Windows sistemleri için yürütülebilir koddur.” Dedi. “Kabuk kodunun içine gömülü şifrelenmemiş bir yürütülebilir dosyası yükler.”
Kaspersky, 2025 yılında Ekim 2024’te daha önce görülenlere benzer olan bir ChatGPT müşterisi olarak maskelenen pipemagik yükleyici eserlerini ortaya çıkardığını söyledi.
Kullanılan yükleme yöntemine bakılmaksızın, hepsi çeşitli modülleri destekleyen pipemagik arka kapının dağıtılmasına yol açar –
- Eklenti sonlandırmak, dosyaları okumak/yazma, bir dosya işlemini sonlandırmak veya tüm dosya işlemlerini sonlandırmak için beş komutu destekleyen asenkron iletişim modülü
- Belleğe ek yükler enjekte etmek ve bunları yürütmek için yükleyici modülü
- Bir C# yürütülebilir dosyasını başlatmak için enjektör modülü
Araştırmacılar, “Suudi Arabistan’daki kuruluşlara yönelik saldırılarda tekrar tekrar pipemagik tespiti ve Brezilya’daki görünüşü, kötü amaçlı yazılımların aktif kaldığını ve saldırganların işlevselliğini geliştirmeye devam ettiğini gösteriyor.” Dedi.
“2025’te tespit edilen versiyonlar, kurban sistemlerinde ısrar etmeyi ve iç ağlarda yanal olarak hareket etmeyi amaçlayan 2024 versiyonu üzerinde iyileştirmeler gösteriyor. 2025 saldırılarında, saldırganlar LSASS sürecinden bellek çıkarmak için Dllhost.exe olarak yeniden adlandırılan ProcDump aracını kullandılar.”