Исследователи Лаборатории Касперского в новом отчете отследили эволюцию бэкдора PipeMagic: от инцидента с RansomExx до CVE-2025-29824, которая оказалась в числе 121, исправленной в рамках Microsoft PatchTuesday.

Стоит отметить, что отчет стал результатом совместного исследования ЛК с группой исследования уязвимостей BI.ZONE.

Ключевые изменения в TTPs операторов PipeMagic представили Касперы, а Бизоны, в свою очередь, провели технический анализ самой уязвимости CVE-2025-29824.

Как отметили в Редмонде, CVE-2025-29824 единственная использовалась в реальных атаках на момент выхода патча, а эксплойт к ней запускал вредоносное ПО PipeMagic, который впервые ЛК обнаружила в декабре 2022 года в кампании с использованием RansomExx.

Жертвами атаки стали промышленные компании в Юго-Восточной Азии. Для проникновения в инфраструктуру злоумышленники использовали уязвимость CVE-2017-0144.

Загрузчик бэкдора представлял собой троянизированное приложение Rufus для форматирования USB-дисков, а сам PipeMagic поддерживал два режима работы: полноценный бэкдор и сетевой шлюз для исполнения широкого набора команд.

Позже в ЛК задетектили его вновь в сентябре 2024 года в атаках на организации в Саудовской Аравии. Примечательно, что это была та же версия PipeMagic, что и в 2022 году.

Тогда для первоначального проникновения злоумышленники не эксплуатировали уязвимости, а использовали в качестве приманки поддельное приложение-клиент для ChatGPT.

Оно было написано на Rust и  использовало фреймворки Tauri для отрисовки графических приложений и Tokio для асинхронного выполнения задач.

Никакой полезной функциональности в нем не оказалось. Приложение извлекало из своего кода зашифрованный AES массив размером 105 615 байт, расшифровывало и выполняло его. Результат - шелл-код, отвечающий за загрузку исполняемого файла. 

Одной из уникальных особенностей PipeMagic является генерация случайного массива длиной 16 байт, который используется для создания именованного канала для передачи зашифрованной полезной нагрузки и уведомлений.

Для взаимодействия с именованным каналом используется стандартный сетевой интерфейс, а для скачивания модулей (PipeMagic обычно задействует несколько плагинов с C2) задействуется домен: hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com.

Продолжая отслеживать активность зловреда, в 2025 году решения Лаборатории предотвратили заражение организаций в Бразилии и Саудовской Аравии.

При расследовании было замечено обращение к домену hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com, которое и навело ресечреров на мысль о связи этой атаки с PipeMagic.

Позже исследователи нашли и сам бэкдор.

В этой атаке в роли загрузчика выступал файл формата Microsoft Help Index File.

Были также найдены образцы загрузчика PipeMagic, имитирующие клиент ChatGPT, похожий на тот, который злоумышленники применяли в атаках на организации в Саудовской Аравии в 2024 году.

Удалось также отследить три дополнительных плагина, используемых в вредоносной кампании 2025 года и реализующих различную функциональность, не присутствующую в основном бэкдоре.

Все модули представляют собой исполняемые файлы для 32-битных систем Windows.

Среди них: модуль асинхронной коммуникации, загрузчик (отвечает за внедрение дополнительной нагрузки в память и ее исполнение) и инжектор (отвечает за запуск полезной нагрузки - исполняемого файла, изначально написанного на C# (.NET).

После компрометации выбранной машины перед атакующими открывается широкий спектр возможностей по горизонтальному перемещению и получению данных учетных записей.

В атаках 2025 года злоумышленники использовали утилиту ProcDump для извлечения памяти процесса LSASS - аналогично методике, описанной Microsoft в контексте эксплуатации CVE-2025-29824.

А особенности этой уязвимости подробно проанализировали уже коллеги из Bi.ZONE во второй части совместного исследования.