Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), Bı.Zone Güvenlik Açığı Araştırma uzmanları işbirliğiyle, ilk olarak Aralık 2022’de keşfedilen PipeMagic arka kapısı ile ilişkili yeni 2025 faaliyetlerini gözlemledi. Arka kapı saldırıların coğrafi kapsamını genişletmiş görünüyor. İlk olarak Asya’da gözlemlenen arka kapı, 2024’ün sonlarında Suudi Arabistan’da tespit edildi. Son saldırılar, Suudi kuruluşlara olan ilginin devam ettiğini ve yeni bölgelere, özellikle Brezilya’daki imalat şirketlerine doğru genişlediğini gösteriyor.
Araştırmacılar, kötü amaçlı yazılımın gelişimini takip etti, operatörlerin taktiklerinde önemli değişiklikleri belirledi ve Microsoft güvenlik açığı CVE-2025-29824’ün teknik analizini yaptı. Bu güvenlik açığı, Nisan 2025’te yamalanan 121 güvenlik açığı arasında aktif olarak istismar edilen tek güvenlik açığıydı ve PipeMagic enfeksiyon zincirine entegre edilmiş bir istismar tarafından özellikle hedef alınıyordu. Söz konusu açık, clfs.sys günlük sürücüsündeki bir kusur nedeniyle işletim sisteminde ayrıcalık yükseltmesine izin veriyordu.
2025 kampanyasının saldırılarından biri, iki amaca hizmet eden Microsoft Yardım Dizini Dosyasını kullandı: Şifre çözme ve kabuk kodu çalıştırma. Kabuk kodu, onaltılık anahtar ile RC4 akış şifresi kullanılarak şifreleniyor. Şifresi çözüldükten sonra, kod WinAPI EnumDisplayMonitors işlevi aracılığıyla çalıştırılıyor ve işlem enjeksiyonu yoluyla sistem API adreslerinin dinamik olarak çözülmesini sağlıyor.
Araştırmacılar ayrıca ChatGPT istemcisi gibi görünen PipeMagic yükleyicisinin güncellenmiş sürümlerini de tespit ettiler. Bu uygulama, 2024 yılında Suudi kuruluşlarına yönelik saldırılarda kullanılan uygulamaya benziyor. aynı Tokio ve Tauri çerçevelerini, aynı libaes kütüphane sürümünü paylaşıyor ve benzer dosya yapıları ve davranışları sergiliyor.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko şunları söylüyor:
“PipeMagic’in yeniden ortaya çıkması, bu kötü amaçlı yazılımın hala aktif olduğunu ve gelişmeye devam ettiğini doğruluyor. 2024 sürümleri, kurbanların altyapılarında kalıcılığı artıran ve hedef alınan ağlarda yanal hareketleri kolaylaştıran iyileştirmeler içeriyor”
Bı.Zone Güvenlik Açığı Araştırma Lideri Pavel Blinnikov şunları söylüyor:
“Son yıllarda, özellikle finansal motivasyonla hareket eden tehdit aktörleri arasında clfs.sys siber suçluların giderek daha popüler bir hedefi haline geldi. Bu kişiler, ayrıcalıkları yükseltmek ve istismar sonrası faaliyetleri gizlemek için bu ve diğer sürücülerdeki sıfırıncı gün güvenlik açıklarını kullanıyor. Bu tür tehditleri azaltmak için hem erken aşamada hem de istismar sonrasında şüpheli davranışların tespitini sağlayan EDR araçlarının kullanılmasını öneriyoruz,”
PipeMagic, 2022 yılında Kaspersky tarafından RansomExx ile ilgili bir kötü amaçlı kampanya soruşturması sırasında ilk kez keşfedilen bir arka kapı. O dönem kurbanlar arasında Güneydoğu Asya’daki endüstri şirketleri de vardı. Saldırganlar, CVE-2017-0144 güvenlik açığını kullanarak iç altyapıya erişim sağladı.
Arka kapı, iki çalışma modunu destekliyor: Tam özellikli bir uzaktan erişim aracı veya ağ proxy’si şeklinde çalışarak çok çeşitli komutların yürütülmesini sağlayan biçim. Ekim 2024’te, Suudi Arabistan’daki kuruluşlara yönelik saldırılarda, sahte bir ChatGPT ajan uygulamasını yem olarak kullanan PipeMagic’in yeni bir versiyonu gözlemlendi.
Kaynak : 