Возвращение PipeMagic: новая активность бэкдора в Саудовской Аравии и Бразилии

Совместно с «Лабораторией Касперского» исследовали бэкдор PipeMagic. «Лаборатория Касперского» выявила изменения в тактиках его операторов, а мы провели технический анализ уязвимости, которая использовалась в кибератаках

18 августа 2025 г.

Первые случаи применения бэкдора PipeMagic зафиксированы в декабре 2022 года против азиатских компаний. В конце 2024‑го он атаковал организации в Саудовской Аравии. В 2025 году эксперты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» и наши специалисты зарегистрировали новую активность вредоноса.

Исследователи отмечают, что злоумышленники сохранили интерес к саудовским организациям, а также распространили атаки на новые регионы, в частности в Бразилии. Эксперты отследили эволюцию PipeMagic, выявили ключевые изменения в тактиках злоумышленников и провели технический анализ CVE‑2025‑29824. Это одна из 121 уязвимости, которые Microsoft исправила в апреле 2025 года, но при этом единственная, которую злоумышленники активно использовали в кибератаках.

Брешь эксплуатировалась для повышения привилегий в операционной системе Windows до уровня локального администратора, а затем кражи учетных данных пользователей и шифрования файлов в скомпрометированной системе. Это стало возможно из‑за ошибки в драйвере логирования.

Исследователи также обнаружили новые версии загрузчика PipeMagic, замаскированного под приложение ChatGPT. Похожее вредоносное ПО было в кибератаках на организации в Саудовской Аравии в 2024 году.

Новая кампания с использованием PipeMagic подтверждает, что злоумышленники продолжают активно использовать и дорабатывать это ВПО. В версию 2024 года внесли изменения, которые позволяют атакующим закрепляться в инфраструктуре жертвы, а также упрощают им горизонтальное перемещение в скомпрометированных сетях.

Леонид Безвершенко

Старший эксперт по кибербезопасности, Kaspersky GReAT

За последние несколько лет драйвер clfs.sys стал популярной мишенью особенно у тех, чья цель — финансовая выгода. Все чаще в ходу эксплоиты нулевого дня — не только для clfs.sys, но и для других драйверов. Основная задача — повысить привилегии и скрыть следы проникновения.

Для защиты мы рекомендуем использовать EDR‑решения. Они позволяют обнаружить злоумышленников на ранних этапах атаки и при постэксплуатации.

Павел Блинников

Руководитель группы исследования уязвимостей, BI.ZONE

Полный текст отчета доступен на «Хабре».

BI.ZONE EDR — решение для защиты конечных точек от сложных угроз. Обнаруживает угрозы на ранних этапах и предоставляет инструменты для активного ручного или автоматического реагирования.