Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

PipeMagic вернулся: угроза для компаний

1
2 мин
Изображение: recraft Исследовательские команды «Лаборатории Касперского» и BI.ZONE сообщили о новой волне активности бэкдора PipeMagic, который с 2022 года применялся в атаках на организации в различных регионах. В 2025 году вредонос снова используется в кампаниях, в том числе против компаний из Бразилии, а интерес к объектам в Саудовской Аравии сохраняется. Эксперты отмечают, что арсенал атакующих расширился — в частности, зафиксирована эксплуатация уязвимости CVE-2025-29824 в драйвере clfs.sys, закрытой Microsoft в апреле. Уязвимость позволяла атакующим получать права администратора, похищать учётные данные и шифровать файлы на скомпрометированных системах. Исследователи также зафиксировали случаи использования индексных файлов справки Microsoft — с их помощью запускался вредоносный код без ведома пользователя. Новые версии загрузчика PipeMagic замаскированы под популярные приложения, в том числе ChatGPT. Такая техника уже применялась ранее — в атаках на ближневосточные организации в

Изображение: recraft

Исследовательские команды «Лаборатории Касперского» и BI.ZONE сообщили о новой волне активности бэкдора PipeMagic, который с 2022 года применялся в атаках на организации в различных регионах. В 2025 году вредонос снова используется в кампаниях, в том числе против компаний из Бразилии, а интерес к объектам в Саудовской Аравии сохраняется. Эксперты отмечают, что арсенал атакующих расширился — в частности, зафиксирована эксплуатация уязвимости CVE-2025-29824 в драйвере clfs.sys, закрытой Microsoft в апреле.

Уязвимость позволяла атакующим получать права администратора, похищать учётные данные и шифровать файлы на скомпрометированных системах. Исследователи также зафиксировали случаи использования индексных файлов справки Microsoft — с их помощью запускался вредоносный код без ведома пользователя.

Новые версии загрузчика PipeMagic замаскированы под популярные приложения, в том числе ChatGPT. Такая техника уже применялась ранее — в атаках на ближневосточные организации в 2024 году. По словам Леонида Безвершенко из Kaspersky GReAT, создатели PipeMagic продолжают развивать инструментарий: бэкдор получил новые механизмы закрепления в инфраструктуре и средства для упрощённого перемещения по сети.

Павел Блинников из BI.ZONE отметил, что драйвер clfs.sys стал привлекательной целью для киберпреступников из-за его критичности и широкого распространения. В атаках всё чаще используются эксплойты нулевого дня, особенно против драйверов, что даёт возможность незаметно повышать привилегии и избегать обнаружения.

PipeMagic впервые был обнаружен в 2022 году, когда использовался в связке с программой-вымогателем RansomExx. Тогда целями были промышленные предприятия в Юго-Восточной Азии. Бэкдор способен работать как удалённый доступ, так и в роли прокси, выполняя широкий спектр команд и обеспечивая злоумышленникам устойчивое присутствие в инфицированной сети.

Эксперты предупреждают, что дальнейшее развитие PipeMagic может привести к новым атакам, в том числе на критически важные объекты. Организациям рекомендуется обновить драйверы, усилить мониторинг сетевой активности и ограничить выполнение подозрительных исполняемых файлов.

Оригинал публикации на сайте CISOCLUB: "Бэкдор PipeMagic снова используется в атаках — злоумышленники эксплуатируют уязвимость в Windows".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.