Kaspersky'den PipeMagic Arka Kapısında Yeni Gelişmeler
Kaspersky'nin araştırması, PipeMagic arka kapısının coğrafi hedefinin genişlediğini ve yeni saldırı taktiklerinin belirlendiğini ortaya koydu. Özellikle Brezilya'daki imalat şirketleri, Suudi Arabistan'ın yanı sıra hedef alındı. Araştırmalar, yeni kötü amaçlı yazılımların da devreye girdiğini gösteriyor.
Kaspersky Küresel Araştırma ve Analiz Ekibi'nin (GReAT) BI.ZONE Güvenlik Açığı Araştırma uzmanları işbirliğiyle ortaya çıkardığı PipeMagic arka kapısında yeni faaliyetler gözlemlendi.
Şirketten yapılan açıklamaya göre, ilk olarak Aralık 2022'de tespit edilen PipeMagic'te arka kapı saldırıların coğrafi kapsamı genişledi.
Daha önce Asya kıtası ve Suudi Arabistan'da saptanan arka kapı, bu yıl Suudi Arabistan'ın yanı sıra özellikle Brezilya'daki imalat şirketlerini hedef alarak yeni bir coğrafyaya daha yayıldı.
Kötü amaçlı yazılımın gelişimini takip eden araştırmacılar, operatörlerin taktiklerinde önemli değişiklikleri belirledi ve Microsoft güvenlik açığı "CVE-2025-29824"ün teknik analizini gerçekleştirdi.
Nisan 2025'te yamalanan 121 güvenlik açığı arasında aktif olarak istismar edilen tek açık konumundaki CVE-2025-29824, PipeMagic enfeksiyon zincirine entegre edilen bir istismar tarafından özellikle hedef alınıyordu. Söz konusu açık, "clfs.sys" günlük sürücüsündeki bir kusur nedeniyle işletim sisteminde ayrıcalık yükseltmesine izin veriyordu.
Bu yılki kampanyanın saldırılarından biri, iki amaca hizmet eden Microsoft Yardım Dizini Dosyası'nı şifre çözme ve kabuk kodu çalıştırmak için kullandı.
Kabuk kodu, onaltılık anahtarla RC4 akış şifresi kullanılarak şifreleniyor. Şifresi çözüldükten sonra, kod "WinAPI EnumDisplayMonitors" işlevi aracılığıyla çalıştırılıyor ve işlem enjeksiyonu yoluyla sistem API adreslerinin dinamik olarak çözülmesini sağlıyor.
ChatGPT istemcisi kılığında sahte uygulama
PipeMagic yükleyicisinin ChatGPT istemcisi gibi görünen yeni sürümleri de tespit edildi. Bu uygulamalar, geçen yılki Suudi Arabistan saldırılarında kullanılan sürümlerle benzerlik gösteriyor. Aynı Tokio ve Tauri çerçevelerinin yanı sıra "libaes kütüphanesi" sürümünü kullanan uygulama, benzer dosya yapısı ve davranışları sergiliyor. Arka kapı, tam özellikli bir uzaktan erişim aracı veya ağ proxy'si şeklinde çalışarak çok çeşitli komutların yürütülmesini sağlıyor.
Açıklamada görüşlerine yer verilenlerden Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Leonid Bezvershenko, PipeMagic'in yeniden ortaya çıkmasının, bu kötü amaçlı yazılımın hala aktif olduğunu ve gelişmeye devam ettiğini gösterdiğini aktardı.
Bezvershenko "PipeMagic'in 2024 sürümleri, kurbanların altyapılarında kalıcılığı artıran ve hedef alınan ağlarda yanal hareketleri kolaylaştıran iyileştirmeler içeriyor." değerlendirmesinde bulundu.
BI.ZONE Güvenlik Açığı Araştırma Lideri Pavel Blinnikov da son yıllarda özellikle finansal motivasyonla hareket eden tehdit aktörleri arasında "clfs.sys" siber suçluların giderek daha popüler bir hedefi haline geldiğini belirtti.
Bu kişilerin ayrıcalıkları yükseltmek ve istismar sonrası faaliyetleri gizlemek için bu ve diğer sürücülerdeki sıfırıncı gün güvenlik açıklarını kullandığını aktaran Blinnikov, "Bu tür tehditleri azaltmak için hem erken aşamada hem de istismar sonrasında şüpheli davranışların tespitini sağlayan EDR araçlarının kullanılmasını öneriyoruz." ifadelerini kullandı.
