PipeMagic Trojan Exploits Windows Zero-Day Vulnerability to Deploy Ransomware
2025/04/09 TheHackerNews — Microsoft が明らかにしたのは、Windows Common Log File System (CLFS) に影響を及ぼす、すでに修正済みのセキュリティ脆弱性を、ゼロデイとして悪用するランサムウェア・グループが、標的を絞り込んだ攻撃を仕掛けていることだ。同社は、「この標的には、米国の IT 分野および不動産業界や、ベネズエラの金融業界、スペインのソフトウェア企業、サウジアラビアの小売業界などが含まれる」と述べている。
問題とされる脆弱性 CVE-2025-29824 は、CLFS に存在する権限昇格のバグであり、SYSTEM 権限の取得に悪用される可能性がある。この脆弱性は、2025年4月の Patch Tuesday アップデートの一環として、すでに修正されている。
Microsoft は、Storm-2460 という名称の脅威グループと、脆弱性 CVE-2025-29824 の悪用状況、そして、侵害後のアクティビティを追跡している。この脅威アクターは、ランサムウェアのペイロードを展開するだけではなく、PipeMagic というマルウェアも用いて、エクスプロイトを拡散させている。
今回の攻撃で使用された、正確なイニシャル・アクセス・ベクターは、現時点で不明である。しかし、この脅威アクターが、ペイロードのステージングのために certutil ユーティリティを悪用し、以前に侵害した正規のサードパーティ・サイトから、マルウェアをダウンロードしたことが確認されている。
このマルウェアは、暗号化されたペイロードを取り込んだ、悪意の MSBuild ファイルであり、それを解凍すると、2022年から実環境で検出されている、プラグイン・ベースのトロイの木馬 PipeMagic が起動するという。
ここで注目すべきは、2025年3月の Patch Tuesday で修正された、Windows Win32 カーネル・サブシステムの権限昇格の脆弱性 CVE-2025-24983 に続き、今回の CVE-2025-29824 は、 PipeMagic を介して配信される2番目の Windows ゼロデイ脆弱性であることだ。なお、前回の CVE-2025-24983 は、ESETによりフラグ付けされている。
これまでの PipeMagic は、別の CLFS ゼロデイ脆弱性 CVE-2023-28252 を悪用する、Nokoyawa ランサムウェアによる攻撃にも関連していたという。
2023年4月に Kaspersky は、「同じ攻撃者によるとされる、いくつかの攻撃では、CLFS の権限昇格の脆弱性を悪用する前に、MSBuild スクリプトを介して起動される “PipeMagic” というカスタム・モジュール式のバックドアに、被害者のマシンが感染していたことも確認されている」と指摘している。
なお、Windows 11 24H2 は、このエクスプロイトの影響を受けないことに留意する必要がある。この最新の Windows バージョンでは、NtQuerySystemInformation 内の特定のシステム情報クラスへのアクセスが、管理者権限を持つユーザーのみが取得できる、SeDebugPrivilege を持つユーザーに制限されている。
Microsoft Threat Intelligence チームは、「このエクスプロイトは、CLFS カーネル・ドライバーの脆弱性を標的としている。イニシャル・アクセス後に、メモリ破損とRtlSetAllBits API の悪用により、エクスプロイト・プロセスのトークン値 0xFFFFFFFF で上書きし、プロセスの全権限を有効化することで、SYSTEM プロセスへのプロセス・インジェクションを可能にしている」と述べている。
このエクスプロイトを成功させた脅威アクターは、LSASS のメモリをダンプしてユーザーの認証情報を抽出し、システム上のファイルをランダムな拡張子で暗号化する。
Microsoft は、分析用のランサムウェア・サンプルを入手できなかったとしている。そかし、暗号化後にドロップされた身代金要求メッセージには、RansomEXX ランサムウェア・ファミリーに関連付けられる、TOR ドメインが含まれていたと述べている。
Microsoft は、「このランサムウェア・アクターには、侵害後の権限昇格エクスプロイトを重視する傾向がある。つまり、イニシャル・アクセスを特権アクセスへと昇格させ、悪意のアクティビティを商用マルウェア配布者から引き継ぐためである。そして、この脅威アクターは、特権アクセスを悪用して、環境内でランサムウェアを広範囲に展開/実行していく」と付け加えている。
この脆弱性 CVE-2025-29824 は、4月8日付けで CISA KEV に登録されています。悪用状況や侵害後のアクティビティなどについては、現時点では追跡中とのことですので、引き続き注視していきたいところです。また、過去に PipeMagic が関連していたとされる脆弱性 CVE-2025-24983/CVE-2023-28252 については、以前にも取り上げています。よろしければ、以下の関連記事も、Microsoft で検索と併せてご利用ください。
2025/04/09:Windows CLFS の CVE-2025-29824 が KEV に登録
2025/04/08:Microsoft 月例アップデート:CLFS の脆弱性などを FIX
2025/03/13:Windows の CVE-2025-24983 の修正と悪用の観測
2023/04/11:Windows の CVE-2023-28252:Nokoyawa による悪用
IoT OT Security News 
You must be logged in to post a comment.