PipeMagic 트로이목마와 CLFS Zero-Day(CVE-2025-29824) 악용 사례 분석

PipeMagic Trojan Exploits Windows Zero-Day Vulnerability to Deploy Ransomware

 

• 개요
  • 마이크로소프트는 2025년 4월 Patch Tuesday를 통해 Windows CLFS(Common Log File System) 커널 드라이버 취약점(CVE-2025-29824)을 패치하였으며, 이 취약점은 제로데이(Zero-Day)로 악용되어 PipeMagic 트로이목마 기반의 랜섬웨어 공격에 사용됨
  • 해당 취약점은 권한 상승(EoP)을 가능하게 하며, 공격자는 SYSTEM 권한을 획득한 뒤 랜섬웨어 유포 및 사용자 자격 증명 탈취 수행
• 공격자 그룹 및 피해 대상
  • 위협 행위자는 Storm-2460으로 추적되고 있으며, 다음과 같은 업종 대상 공격 진행
    • 미국 내 IT 및 부동산 산업
    • 베네수엘라 금융 산업
    • 스페인 소프트웨어 기업
    • 사우디아라비아 소매 유통 산업
  • PipeMagic은 2022년부터 활동이 관측된 플러그인 기반 모듈형 백도어
• 침해 경로 및 악성코드 특성
  • 초기 감염 경로는 불분명하나, certutil 유틸리티를 통해 제3자 합법 웹사이트에서 악성 MSBuild 파일 다운로드
  • 해당 파일 내 암호화된 페이로드를 복호화 및 실행하여 PipeMagic 로딩
  • 과거 유사 사례로는 Win32k 권한 상승 제로데이(CVE-2025-24983) 및 CLFS 제로데이(CVE-2023-28252)에서도 PipeMagic이 사용됨
• 취약점 기술 세부사항 (CVE-2025-29824)
  • 취약점 유형: Use-After-Free
  • 위치: clfs.sys 커널 드라이버
  • 권한 상승 방식
    • NtQuerySystemInformation API로 커널 주소 유출
    • RtlSetAllBits API로 프로세스 토큰 값을 0xFFFFFFFF로 설정
    • SYSTEM 권한 획득 및 프로세스 인젝션 수행
• 추가 악성행위 및 랜섬웨어 실행
  • dllhost.exe를 통해 PipeMagic 실행
  • winlogon.exe에 페이로드 인젝션 후 lsass.exe 메모리 덤프 수행
  • 사용자 자격증명 탈취 후 랜섬웨어 실행 및 파일 암호화
    • .onion 주소 포함된 랜섬노트(예: !_READ_ME_REXX2_!.txt) 생성
    • RansomEXX 계열 랜섬웨어로 추정
• 보안 권고
  • Windows 11 24H2 이상은 SeDebugPrivilege 제약으로 해당 익스플로잇 동작 불가
  • 마이크로소프트는 4월 8일 보안 패치 배포
  • 미패치 시스템은 즉각 업데이트 필요, 특히 Windows 10 이하 및 미지원 환경 대상
  • EDR 탐지 정책 강화 및 LSASS 접근 모니터링 필요
  • PipeMagic 관련 IoC(Indicators of Compromise) 활용하여 탐지 강화
    • 경로: C:\ProgramData\SkyPDF\PDUDrv.blf
    • 프로세스: dllhost.exe, certutil.exe
    • 도메인: aaaaabbbbbbb.eastus.cloudapp.azure.com, .onion 주소 등
• 결론
  • PipeMagic은 권한 상승 후 후속 공격(랜섬웨어, 크리덴셜 탈취)에 최적화된 모듈형 악성코드
  • 제로데이 기반 권한 상승 + 백도어 + 랜섬웨어 복합 공격이 이뤄지고 있으며, APT 및 랜섬웨어 그룹에서 선호
  • 시스템 권한 획득을 전제로 한 EDR 우회 및 탐지 회피 기법 존재하므로 행위 기반 탐지 강화와 최신 패치 적용이 필수적