«Лаборатория Касперского» и BI.ZONE совместно исследовали активность бэкдора PipeMagic. «Лаборатория Касперского», которая с 2022 года отслеживает развитие этого вредоноса, выявила ключевые изменения в тактиках его операторов. BI.ZONE провела технический анализ уязвимости CVE-2025-29824, которую злоумышленники использовали в кибератаках.
Первые случаи применения бэкдора PipeMagic зафиксированы в декабре 2022 года против азиатских компаний. В конце 2024 года он атаковал организации в Саудовской Аравии. В 2025 году эксперты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» и специалисты BI.ZONE зарегистрировали новую активность вредоноса.
Исследователи отмечают, что злоумышленники сохранили интерес к саудовским организациям, а также распространили атаки на новые регионы, в частности на производственные компании в Бразилии. Эксперты отследили эволюцию PipeMagic, выявили ключевые изменения в тактиках злоумышленников и провели технический анализ CVE-2025-29824. Это одна из 121 уязвимостей, которые Microsoft исправила в апреле 2025 года, но при этом единственная, которую злоумышленники активно использовали в кибератаках.
Брешь эксплуатировалась для повышения привилегий в операционной системе Windows до уровня локального администратора, а затем кражи учетных данных пользователей и шифрования файлов в скомпрометированной системе. Это стало возможно из-за ошибки в драйвере логирования clfs.sys. Кроме того, в ходе одной из кибератак 2025 года злоумышленники использовали индексный файл справки Microsoft, который может применяться как для дешифрования, так и для исполнения шелл-кода.
Исследователи также обнаружили новые версии загрузчика PipeMagic, замаскированного под приложение ChatGPT. Похожее вредоносное ПО было замечено в кибератаках на организации в Саудовской Аравии в 2024 году.
Леонид Безвершенко, старший эксперт по кибербезопасности в Kaspersky GReAT:
Новая кампания с использованием PipeMagic подтверждает, что злоумышленники продолжают активно использовать и дорабатывать это ВПО. В версию 2024 года внесли изменения, которые позволяют атакующим закрепляться в инфраструктуре жертвы, а также упрощают им горизонтальное перемещение в скомпрометированных сетях.
Павел Блинников, руководитель группы исследования уязвимостей, BI.ZONE:
За последние несколько лет драйвер clfs.sys стал популярной целью у киберпреступников, особенно у тех, чья цель — финансовая выгода. Все чаще в ходу эксплоиты нулевого дня: не только для clfs.sys, но и для других драйверов. Основная цель — повысить привилегии и скрыть следы проникновения. Для защиты мы рекомендуем использовать EDR-решения. Они позволяют обнаружить злоумышленников на ранних этапах атаки и при постэксплуатации.
«Лаборатория Касперского» впервые обнаружила бэкдор PipeMagic в 2022 году в ходе исследования кампании с использованием RansomExx, нацеленной на промышленные организации Юго-Восточной Азии. Злоумышленники воспользовались уязвимостью CVE-2017-0144, чтобы получить доступ к внутренней инфраструктуре целевых организаций. Бэкдор может применяться как полноценный инструмент для удаленного доступа или как прокси-сервер, позволяющий исполнять широкий спектр команд.
Специалисты Patchstack предупредили о серьёзной уязвимости в Imunify360 - популярной системе защиты серверов Linux, которую активно используют хостинг-провайдеры и администраторы сайтов.
Компания Anthropic заявила, что заблокировала первую публично задокументированную шпионскую операцию, в которой искусственный интеллект использовался не как вспомогательный инструмент, а как полноценный исполнитель атак.
В Госдуму внесён законопроект, который вводит административную ответственность за использование иностранных сервисов аутентификации на российских сайтах.
Редакция Cyber Media отобрала ключевые события недели: на фоне роста кибершпионажа, усложнения фишинговых схем и усиления международного давления на преступные группировки цифровая среда становится всё более неустойчивой.
Платформа Deezer совместно с исследовательской компанией Ipsos опубликовала результаты крупного международного опроса о восприятии музыки, созданной искусственным интеллектом.
Исследователи Sonatype сообщили о беспрецедентной автоматизированной атаке на экосистему open-source, получившей название «IndonesianFoods».
Исследователи Netcraft выявили масштабную фишинговую операцию, нацеленную на гостей отелей.
Обнаружен один из крупнейших сборников украденных учётных данных: почти два миллиарда уникальных адресов электронной почты и 1,3 миллиарда паролей, — сообщает Трой Хант, создатель сервиса проверки паролей HIBP.
4 декабря в Москве более 50 экспертов по информационной безопасности подведут итоги года на масштабной аналитической конференции «Код ИБ ИТОГИ».
«Лаборатория Касперского» расширяет присутствие в Юго-Восточной Азии — компания назначила нового регионального директора, а также вывела работу во Вьетнаме на новый уровень, открыв офис в стране.
