Tehdit Oyuncuları Pipemagik kötü amaçlı yazılımları dağıtmak için Microsoft yardım dizin dosyasını kullanır

Siber güvenlik araştırmacıları, tehdit aktörlerinin bir Microsoft yardım endeks dosyasını (.mshi) Pipemagik arka kapıyı dağıtmak için kullandıkları ve kötü amaçlı yazılım dağıtım yöntemlerinde dikkate değer bir evrimi işaretlemek için kullandıkları sofistike bir kampanya ortaya çıkardılar.

Bu geliştirme, Microsoft’un 8 Nisan 2025’te yamalandığı Windows Ortak Günlük Dosya Sistemi (CLFS) sürücüsünde sıfır günlük bir ayrıcalık güvenlik açığı yüksekliği olan CVE-2025-29824’ün kullanımı ile bağlantılıdır.

Güvenlik açığı, saldırganların standart bir kullanıcı hesabından ayrıcalıkları artırmasına izin vererek Storm-2460 gibi gruplara göre fidye yazılımı dağıtımını kolaylaştırdı.

Son sömürü taktikleri

Güneydoğu Asya’daki sanayi firmalarını hedefleyen Ransomexx kampanyaları sırasında ilk olarak Aralık 2022’de tanımlanan Pipemagic, o zamandan beri taktiklerini uyarladı.

2024’te, Shellcode aracılığıyla şifrelenmiş yüklerin şifresini çözmek ve yürütmek için Tauri ve Tokio çerçeveleri ile inşa edilen pas tabanlı yükleyicileri kullanarak Suudi Arabistan’daki organizasyonlara sızmak için sahte bir ChatGPT uygulaması olarak göründü.

2025 yılına gelindiğinde, enfeksiyonlar Brezilya ve Suudi Arabistan’a yayıldı, saldırganlar RC4 şifreli kabuk kodunu şifresini çözmek ve 32 bit yürütülebilir ürünleri enjekte etmek için .mshi dosyalarında gizlenmiş C# kod kullanıyor.

Bu yükleyiciler, \. \ Boru \ 1 gibi adlandırılmış borular oluşturarak FNV-1A karma kullanarak API işlevlerini dinamik olarak çözer. şifreli iletişim için, 127.0.0.1:8082 numaralı telefondan yerel bir ağ uç noktasıyla arayüz oluştururken.

Microsoft, ilgili etkinliği, Pipemagik indirme modüllerini tehlikeye atılmış Azure alanlarından modüllere bağladığı ve Dllhost.exe olarak gizlenmiş ProcDump gibi araçlar aracılığıyla kimlik bilgisi dökümüne yol açtığı, ilgili etkinlikleri ilişkilendirdi.

Yükleyicilerin teknik analizi

2025 varyantları, belirli anahtarlar ve IV’ler kullanarak AES ile şifreli yüklerin CBC modunda şifresini çözmek için kötü niyetli mantığın DLLMain’de bulunduğu GoogleUpdate.dll gibi meşru dosyalarla DLL de dahil olmak üzere çeşitli yükleme mekanizmaları sunar.

Bir kez konuşlandırıldıktan sonra, pipemagik boru adları için rastgele 16 baytlık diziler üretir ve bir kullanıcı arayüzüne rağmen grafik modlarını destekler, kalıcılık ve yanal hareket sağlar.

Yeni keşfedilen modüller işlevselliği geliştirir: Asenkron iletişim eklentisi, iki kat bağlantılı tanımlayıcı listesi aracılığıyla okuma, yazma ve hata işaretleme gibi dosya işlemlerini işlemek, başlatma, fesih ve veri işleme komutlarını desteklemek için G/Ç tamamlama bağlantı noktalarını kullanır.

Kaspersky Report’a göre, bir yükleyici modülü, kaynakları ayrıştırarak 64 bit yükleri enjekte eder, ithalatları isim karşılaştırması yoluyla değiştirir ve veri alışverişi için DLLRegisterservice gibi dışa aktarılan işlevleri çağırır.

Bir enjektör modülü, AMSI arayüzlerini AMSI.DLL’deki AMSI arayüzlerini yamalar, 4.0.30319 veya 2.0.50727 gibi çalışma zamanı sürümlerini kontrol ettikten sonra .NET yüklerini Mscoree.dll üzerinden yükler.

Sıkıştırma sonrası, LSASS belleğini kimlik bilgilerini çıkarmak için yeniden adlandırılmış ProcDump ile dökmeyi, C: \ ProgramData \ skypdf \ pdudrv.blf gibi CLFS BLF dosyaları oluşturan ve sistem işlemlerine enjekte eden CVE-2025-29824’teki taktikleri yansıtmayı içerir.

Fidye yazılımı göstergeleri arasında rastgele dosya uzantıları, notlardaki.

Microsoft, bu tür tehditleri azaltmak için yamaların uygulanmasını, defansta bulut tarafından verilen korumaların sağlanmasını ve EDR’yi blok modunda kullanmanızı önerir.

Uzlaşma göstergeleri

AWS Security Services: 10-Point Executive Checklist - Download for Free