Хакеры активно распространяют троян PipeMagic для эксплуатации уязвимости нулевого дня в Windows

Корпорация Microsoft подтвердила, что недавно устранённая брешь в безопасности общей файловой системы журналов Windows (CLFS) до своего закрытия активно использовалась хакерами в рамках целевых атак. Злоумышленники применяли этот уязвимый участок как средство незаметного проникновения, распространяя программы-вымогатели через сложную цепочку заражения.

По информации Microsoft, мишенями атак стали компании из разных секторов и стран. Под удар попали структуры, занимающиеся информационными технологиями и недвижимостью в Соединённых Штатах, финансовые организации Венесуэлы, испанская фирма-разработчик программного обеспечения и представители розничной торговли в Саудовской Аравии.

Речь идёт о CVE-2025-29824 — уязвимости, связанной с повышением привилегий в CLFS. Она давала возможность получить доступ к системным правам и была устранена в рамках обновления безопасности, выпущенного Microsoft в апреле 2025 года. Аналитики компании зафиксировали активное использование этого уязвимого места и связали его с операцией, обозначенной внутренним кодом Storm-2460. В этой кампании хакеры применяли вредоносный инструмент PipeMagic, который использовался как канал доставки эксплойта и вирусов-вымогателей.

Хотя точный способ, при помощи которого атакующие получали начальный доступ к системам, до сих пор не установлен, эксперты отметили, что в зафиксированных инцидентах злоумышленники прибегали к использованию встроенной системной утилиты certutil. С её помощью на заражённые машины загружался вредоносный код с ранее взломанного легитимного сайта.

Вредоносное программное обеспечение, задействованное в этих атаках, представляет собой модифицированный файл MSBuild с зашифрованным содержимым. После распаковки исполняется троян PipeMagic — вредоносный модуль с архитектурой плагинов, который, по наблюдениям специалистов, циркулирует в киберпространстве с 2022 года.

Специалисты Microsoft акцентировали внимание на том, что CVE-2025-29824 — уже вторая по счёту уязвимость нулевого дня, через которую распространяется PipeMagic. Ранее подобным способом использовалась ошибка CVE-2025-24983 в подсистеме ядра Windows Win32. Этот случай расследовала и раскрыла компания ESET, после чего уязвимость была закрыта в предыдущем месяце.