PipeMagicマルウェア

マルウェア, 脆弱性年Mezoまで

翻訳内容：

研究者らは、Windows共通ログファイルシステム（CLFS）に存在する、既にパッチが適用されているセキュリティ脆弱性を発見しました。この脆弱性は、ゼロデイ攻撃に積極的に悪用されていました。この脆弱性は、米国のITおよび不動産業界、ベネズエラの金融機関、スペインのソフトウェア企業、サウジアラビアの小売業など、複数の業界の特定の組織を標的としたランサムウェア攻撃キャンペーンで利用されました。

CVE-2025-29824 を理解する

CVE-2025-29824として識別されるこの脆弱性は、CLFSにおける権限昇格の脆弱性であり、攻撃者がシステムレベルの権限を取得できる可能性があります。Microsoftは、2025年4月の月例パッチでこの問題に対応し、修正プログラムを公開しました。これらの攻撃の背後にいるサイバー犯罪者グループは、Storm-2460という名前で追跡されており、PipeMagicと呼ばれるマルウェアを使用してこのセキュリティ脆弱性を悪用し、ランサムウェアペイロードを展開しました。

攻撃の展開

正確な初期アクセス方法は不明ですが、研究者らは、攻撃者がcertユーティリティを使用して、侵害されたサードパーティのウェブサイトからマルウェアをダウンロードしたことを確認しました。このマルウェアは脅威となるMSBuildファイルで、暗号化されたペイロードが含まれており、実行されるとPipeMagicが起動します。2022年から活動しているこのプラグインベースのトロイの木馬は、今回の攻撃を助長する上で中心的な役割を果たしました。

PipeMagicがゼロデイ攻撃に利用されたのは今回が初めてではありません。過去には、Windows Win32カーネルサブシステムの権限昇格脆弱性であるCVE-2025-24983が悪用されていました。また、別のCLFSゼロデイ脆弱性であるCVE-2023-28252を悪用したNokoyawaランサムウェア攻撃にも関連しています。さらに、サイバーセキュリティの専門家は、同じ攻撃者による以前の攻撃では、CLFSの権限昇格脆弱性を悪用する前に、PipeMagicがMSBuildスクリプトを通じて展開されていたと報告しています。

搾取とその影響

この攻撃は、CLFSカーネルドライバの脆弱性を明確に標的としています。メモリ破損を悪用し、RtlSetAllBits APIを利用することで、攻撃者はエクスプロイトプロセスのトークンを0xFFFFFFFFに上書きし、完全な権限を付与します。これにより、システムプロセスに安全でないプロセスを挿入し、感染マシンを事実上制御することが可能になります。エクスプロイトに成功すると、脅威アクターはLSASSメモリをダンプし、ランダムに生成された拡張子でシステムファイルを暗号化することで、ユーザーの認証情報を抽出します。その後、RansomEXXランサムウェアファミリにリンクされたTORドメインを含む身代金要求メッセージがドロップされます。

セキュリティ対策と防御

攻撃の深刻さにもかかわらず、Windows 11 バージョン 24H2 はこの特定の脆弱性の影響を受けません。これは、NtQuerySystemInformation 内の特定のシステム情報クラスにセキュリティ制限が適用されているためです。この制限により、通常は管理者ユーザーにのみ付与される SeDebugPrivilege 権限を持つユーザーのみがアクセスできるようになります。

ランサムウェア攻撃者は、侵害後の権限昇格を依然として優先しています。これは、初期のアクセスをネットワーク内でより広範な制御へと転換できるためです。CVE-2025-29824などのエクスプロイトを悪用することで、攻撃範囲を拡大し、特権アクセスを取得し、壊滅的な被害をもたらすランサムウェアを展開することができます。組織は、このような進化するサイバー脅威によるリスクを軽減するために、常に警戒を怠らず、セキュリティパッチを迅速に適用し、異常なシステムアクティビティを監視し、強力なアクセス制御を実施する必要があります。