СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.08.2025
#ИБ#ИИ#Облака

PipeMagic: бэкдор, эксплуатирующий CVE-2025-29824 и EternalBlue

PipeMagic: бэкдор, эксплуатирующий CVE-2025-29824 и EternalBlue

Источник: securelist.com

PipeMagic — это бэкдор, впервые обнаруженный в декабре 2022 года в ходе кампании RansomExx. За последующие годы его внедрение эволюционировало: злоумышленники комбинировали старые эксплойты и современные техники загрузки, добиваясь скрытой и устойчивой работы в корпоративных сетях.

Краткая сводка

  • Первичное обнаружение: декабрь 2022 — связка с кампанией RansomExx.
  • Первоначальные векторы: CVE-2017-0144 (EternalBlue) и троянский загрузчик Rufus.
  • Актуальность в 2025 году: в бюллетене Microsoft от апреля 2025 года отмечено, что CVE-2025-29824 «активно эксплуатируется»; PipeMagic использовался для эксплуатации этой уязвимости в реальных атаках.
  • География наблюдаемых инцидентов 2025 года: Саудовская Аравия и Бразилия; активность связывалась с доменом hxxp://aaaaabbbbbbb.eastus.cloudapp.azure.com.

«активно эксплуатируется» — формулировка из набора исправлений Microsoft (апрель 2025).

Векторы начального выполнения и загрузчики

Исследователи зафиксировали несколько вариантов initial access и загрузки PipeMagic. Основные наблюдаемые техники:

  • C#-загрузчик: расшифровывает зашифрованный RC4 шеллкод и передаёт исполнение расшифрованной полезной нагрузке.
  • Loader, маскирующийся под клиент ChatGPT: сборки на основе Tokio и Tauri, управляющие версиями libaes и PE-метаданные, соответствующие сборкам 2024 года.
  • Использование mshi-файлов, запускаемых через msbuild.
  • DLL hijacking: рядом с легитимным исполняемым файлом (в наблюдаемом варианте — бинарник обновления Google Chrome) размещается вредоносная DLL, экспортирующая функцию, загружаемую приложением; DLL расшифровывает полезную нагрузку и внедряет её в процесс.

Ключ расшифровки RC4, использованный в одном из C#-загрузчиков: 4829468622e6b82ff056e3c945dd99c94a1f0264d980774828aadda326b775e5.

Технический механизм передачи управления

Интересная и нестандартная деталь — способ передачи исполнения расшифрованному шеллкоду. C#-загрузчик вызывает WinAPI-функцию EnumDeviceMonitor с первыми двумя параметрами, установленными равными нулю; третий параметр указывает на функцию, в которую вставлен указатель шеллкода. Таким образом реализуется запуск произвольного кода в контексте целевого процесса.

Характеристики полезной нагрузки (payload)

  • Во всех методах загрузки развертываемая полезная нагрузка представляет собой 32‑битный Windows PE.
  • PE-файлы «рекламируют» графический режим, но не содержат GUI — на практике это бекдор.
  • Backdoor реализует два режима работы:
    • полный удалённый доступ (full remote access);
    • сетевой шлюз (network gateway).
  • Поддерживается широкий набор команд для управления и взаимодействия с сетью жертвы.

Расширения и плагины

Анализ активности 2025 года выявил три дополнительных 32‑битных модуля‑плагина. Эти плагины расширяют функционал основного двоичного кода и включают улучшения, направленные на:

  • закрепление в системе (persistence);
  • перемещение внутри корпоративной сети (lateral movement);
  • выполнение задач, отсутствующих в базовом бэкдоре.

Инфраструктура и индикаторы компрометации

Для 2025 года зафиксирована связь активности с доменом hxxp://aaaaabbbbbbb.eastus.cloudapp.azure.com. Наблюдались несколько вариантов загрузчиков и схем размещения — от прямых эксплойтов до хитроумного DLL hijacking рядом с легитимными обновляющимися бинарниками.

Выводы

PipeMagic иллюстрирует классический путь развития современной угрозы: сочетание известных уязвимостей (EternalBlue), одноразовых загрузчиков и сложных техник постэксплуатации. Использование нестандартных механизмов запуска (включая вызов EnumDeviceMonitor для передачи управления) и маскировка под легитимные клиентские приложения повышают сложность детектирования. Наличие плагинов для закрепления и lateral movement делает угрозу опасной для корпоративной инфраструктуры.

Важно: информация в статье основана на предоставленном отчёте и бюллетене Microsoft (апрель 2025). Для оперативной защиты организациям следует ориентироваться на официальные исправления и инструменты мониторинга, отслеживая указанные индикаторы компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: