Siber güvenlik araştırmacıları, kötü yazılımların 2022’deki ilk tespitinden bu yana tehdit aktörlerinin taktiklerinde önemli bir evrimi işaretleyerek kötü şöhretli pipemagik arka kapıyı sunmak için Microsoft Yardım Endeks Dosyaları’ndan (.mshi) yararlanan gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
2025 yılı boyunca Suudi Arabistan ve Brezilya’daki organizasyonları hedefleyen kampanya, saldırganların enfeksiyon yöntemlerini ve kalıcılık mekanizmalarını sürekli olarak iyileştirdiğini gösteriyor.
Pipemagik başlangıçta Aralık 2022’de Güneydoğu Asya’daki sanayi şirketlerini hedefleyen bir Ransomexx fidye yazılımı kampanyası sırasında ortaya çıktı.
Kötü amaçlı yazılım, Microsoft’un Nisan 2025 yama döngüsünde vahşi doğada aktif olarak sömürüldüğünü belirlediği bir güvenlik açığı olan CVE-2025-29824’ten yararlandığı keşfedildiğinde öne çıktı.
Arka kapı operatörleri, ilk kampanyalarında CVE-2017-0144 güvenlik açığından yararlanarak son saldırılarda daha sofistike sosyal mühendislik teknikleri kullanmaya geçişten geçiş yaparak dikkate değer bir uyum gösterdiler.
.webp){kind=spacer}
Pipemagik en son yinelemesi, coğrafi erişimini genişletti ve sekürel araştırmacılar birden fazla bölgedeki enfeksiyonları tanımladı.
Kötü amaçlı yazılım, temel işlevselliğini, iki farklı modda çalışabilen çok yönlü bir arka kapı olarak korur: kapsamlı bir uzaktan erişim aracı ve tehlikeye atılan altyapı içindeki yanal hareket için bir ağ geçidi olarak.
2025 kampanyasını ayırt eden şey, saldırganların Microsoft yardım endeks dosyalarını ilk enfeksiyon vektörü olarak yenilikçi kullanımıdır.
Genellikle Microsoft yardım belgeleri için meta veriler içeren bu dosyalar, şifreli yüklerin yanında gizlenmiş C# kodunu taşımak için silahlandırılmıştır.
Kötü niyetli .mshi dosyaları, daha geleneksel yürütülebilir formatları işaretleyebilecek geleneksel güvenlik kontrollerini etkili bir şekilde atlayarak yürütme için meşru MSBUild çerçevesinden yararlanır.
Msbuild sömürü yoluyla gelişmiş enfeksiyon mekanizması
Enfeksiyon zinciri, kurbanlar, kapsamlı bir onaltılık dize ile eşleştirilmiş yoğun bir şekilde gizlenmiş C# kodu içeren kötü amaçlı metafile.mshi’yi yürüttüğünde başlar.
.webp)
Yürütme, özenle hazırlanmış bir komut satırı dizisiyle gerçekleşir:-
c:\windows\system32\cmd.exe "/k c:\windows\microsoft.net\framework\v4.0.30319\msbuild.exe c:\wGömülü C# kodu, enfeksiyon işlemi içinde çift fonksiyonlar gerçekleştirir. İlk olarak, sert kodlanmış 64 karakter onaltılık bir tuşla (482968622e6b82ff056ef02645d99c94a1f0264dd98077482aadaadaadda326b775e5 ile eşlik eden kabuk kodunun şifresini çözer.
Başarılı şifre çözme işleminin ardından, kod kabuk kodunu Windows API işlevi EnumDevicemonitor’dan yürütür ve ilk iki parametreyi sıfıra ayarlarken kabuk kodu işaretçisini işlevin üçüncü parametresine ekleyen bir teknik kullanır.
Şifre çözülmüş kabuk kodu, 32 bit Windows sistemleri için özel olarak tasarlanmış yürütülebilir kodu içerir. Sistem API adreslerini dinamik olarak çözmek için ihracat tablosu ayrıştırma ve FNV-1A karma algoritmaları dahil olmak üzere sofistike kaçış teknikleri kullanır ve statik analizi çok daha zor hale getirir.
Kabuk kodu nihayetinde kendi yapısına gömülü şifrelenmemiş bir yürütülebilir dosyayı yükler, Pipemagik Backdoor’un uzlaşmış sistemdeki varlığını oluşturur ve 127.0.0.1:8082’de boru altyapısı adlı karakteristiği aracılığıyla iletişimi sağlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.