Киберпреступники возобновили активные атаки с использованием бэкдора PipeMagic, говорится в совместном исследовании российских компаний "Лаборатория Касперского" и Bi.Zone. Кибербезопасники выявили ключевые изменения в тактиках хакеров-операторов вредоносного ПО, а также новые цели злоумышленников. Деталями исследования с "Газетой.
Ru" поделились в пресс-службе компании Bi.Zone.Первые случаи применения PipeMagic были зафиксированы еще в декабре 2022 года против азиатских компаний. В конце 2024 года вредонос атаковал организации в Саудовской Аравии. В 2025 году эксперты "Лаборатории Касперского" и Bi.Zone зарегистрировали новую волну активности этого бэкдора.
Исследователи отмечают, что злоумышленники сохранили интерес к саудовским организациям, а также распространили атаки на новые регионы, в частности на производственные компании в Бразилии. В ходе анализа была отслежена эволюция PipeMagic и выявлены ключевые изменения в тактиках злоумышленников.
Особое внимание уделено техническому анализу уязвимости CVE-2025-29824, которую злоумышленники активно использовали в кибератаках. Эта брешь, одна из 121 уязвимости, исправленных Microsoft в апреле 2025 года, оказалась единственной, активно эксплуатируемой киберпреступниками. Уязвимость позволяла повышать привилегии в операционной системе Windows до уровня локального администратора, что затем использовалось для кражи учетных данных пользователей и шифрования файлов в скомпрометированной системе.
Эксперты также обнаружили новые версии загрузчика PipeMagic, маскирующегося под приложение ChatGPT, что является схожей тактикой с вредоносным ПО, замеченным в атаках на организации в Саудовской Аравии в 2024 году.
По данным экспертов, новая кампания подтверждает, что злоумышленники продолжают активно использовать и дорабатывать это вредоносное ПО. В версию 2024 года были внесены изменения, позволяющие атакующим закрепляться в инфраструктуре жертвы и упрощающие горизонтальное перемещение в скомпрометированных сетях.
Свежие комментарии