Sihirli Geri Dönüş: Kaspersky ve BI.ZONE, Suudi Arabistan ve Brezilya’da yeni PipeMagic faaliyetleri bildirdi
Kaspersky Global Araştırma ve Tahlil Takımı (GReAT), BI.ZONE Güvenlik Açığı Araştırma uzmanları işbirliğiyle, birinci olarak Aralık 2022’de keşfedilen PipeMagic art kapısı ile bağlı yeni 2025 faaliyetlerini gözlemledi. Art kapı taarruzların coğrafik kapsamını genişletmiş görünüyor. Birinci olarak Asya’da gözlemlenen art kapı, 2024’ün sonlarında Suudi Arabistan’da tespit edildi. Son ataklar, Suudi kuruluşlara olan ilginin devam ettiğini ve yeni bölgelere, bilhassa Brezilya’daki imalat şirketlerine yanlışsız genişlediğini gösteriyor.
Araştırmacılar, makûs gayeli yazılımın gelişimini takip etti, operatörlerin taktiklerinde değerli değişiklikleri belirledi ve Microsoft güvenlik açığı CVE-2025-29824’ün teknik tahlilini yaptı. Bu güvenlik açığı, Nisan 2025’te yamalanan 121 güvenlik açığı ortasında faal olarak istismar edilen tek güvenlik açığıydı ve PipeMagic enfeksiyon zincirine entegre edilmiş bir istismar tarafından bilhassa gaye alınıyordu. Kelam konusu açık, clfs.sys günlük sürücüsündeki bir kusur nedeniyle işletim sisteminde ayrıcalık yükseltmesine müsaade veriyordu.
2025 kampanyasının akınlarından biri, iki hedefe hizmet eden Microsoft Yardım Dizini Evrakını kullandı: Şifre çözme ve kabuk kodu çalıştırma. Kabuk kodu, onaltılık anahtar ile RC4 akış şifresi kullanılarak şifreleniyor. Şifresi çözüldükten sonra, kod WinAPI EnumDisplayMonitors fonksiyonu aracılığıyla çalıştırılıyor ve süreç enjeksiyonu yoluyla sistem API adreslerinin dinamik olarak çözülmesini sağlıyor.
Araştırmacılar ayrıyeten ChatGPT istemcisi üzere görünen PipeMagic yükleyicisinin güncellenmiş sürümlerini de tespit ettiler. Bu uygulama, 2024 yılında Suudi kuruluşlarına yönelik ataklarda kullanılan uygulamaya benziyor. tıpkı Tokio ve Tauri çerçevelerini, tıpkı libaes kütüphane sürümünü paylaşıyor ve misal evrak yapıları ve davranışları sergiliyor.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, “PipeMagic’in yine ortaya çıkması, bu berbat gayeli yazılımın hala etkin olduğunu ve gelişmeye devam ettiğini doğruluyor. 2024 sürümleri, kurbanların altyapılarında kalıcılığı artıran ve maksat alınan ağlarda yanal hareketleri kolaylaştıran iyileştirmeler içeriyor” diyor.
BI.ZONE Güvenlik Açığı Araştırma Lideri Pavel Blinnikov,“Son yıllarda, bilhassa finansal motivasyonla hareket eden tehdit aktörleri arasında clfs.sys siber hatalıların giderek daha tanınan bir gayesi haline geldi. Bu şahıslar, ayrıcalıkları yükseltmek ve istismar sonrası faaliyetleri gizlemek için bu ve başka şoförlerdeki sıfırıncı gün güvenlik açıklarını kullanıyor. Bu tıp tehditleri azaltmak için hem erken basamakta hem de istismar sonrasında kuşkulu davranışların tespitini sağlayan EDR araçlarının kullanılmasını öneriyoruz,” diyor.
PipeMagic, 2022 yılında Kaspersky tarafından RansomExx ile ilgili bir makus hedefli kampanya soruşturması sırasında birinci kere keşfedilen bir art kapı. O devir kurbanlar ortasında Güneydoğu Asya’daki sanayi şirketleri de vardı. Saldırganlar, CVE-2017-0144 güvenlik açığını kullanarak iç altyapıya erişim sağladı.
Arka kapı, iki çalışma modunu destekliyor: Tam özellikli bir uzaktan erişim aracı yahut ağ proxy’si halinde çalışarak çok çeşitli komutların yürütülmesini sağlayan biçim. Ekim 2024’te, Suudi Arabistan’daki kuruluşlara yönelik hücumlarda, düzmece bir ChatGPT casus uygulamasını yem olarak kullanan PipeMagic’in yeni bir versiyonu gözlemlendi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
