Microsoft Windows’daki Ciddî Güvenlik Açığı ve PipeMagic Malware
Son dönemde siber güvenlik araştırmacıları, Microsoft Windows’daki önemli bir güvenlik açığını istismar eden kötü niyetli aktörlerin PipeMagic malware’ını nasıl dağıttığını gün yüzüne çıkardı. Bu, RansomExx fidye yazılımı saldırıları çerçevesinde gerçekleşmektedir ve attacking bug’a, yani CVE-2025-29824’e dayanmaktadır. Microsoft, bu açığı Nisan 2025’te kapatmıştı. Kaspersky ve BI.ZONE tarafından yayımlanan ortak rapora göre, bu açık Windows Common Log File System (CLFS) üzerinde yetki yükseltilmesi sağlıyor.
PipeMagic Nedir?
PipeMagic, 2022 yılında RansomExx fidye yazılımı saldırılarının bir parçası olarak Güneydoğu Asya’daki sanayi şirketlerini hedef alarak ilk kez belgelenmiştir. Bu malware, uzaktan erişim sağlama ve ele geçirilmiş bilgisayarlarda çok çeşitli komutlar yürütme yeteneğine sahip bir arka kapı (backdoor) olarak işlev görmektedir. Bu saldırılarda, kötü niyetli aktörlerin CVE-2017-0144 adlı, Windows SMB’deki bir uzaktan kod yürütme açığını kullanarak kurban altyapısına girdiği tespit edilmiştir.
Saldırıların Gelişimi
Geçtiğimiz yılın Ekim ayında Suudi Arabistan‘daki saldırı zincirlerinde, malware’ın dağıtımında sahte bir OpenAI ChatGPT uygulaması kullanıldığı gözlemlenmiştir. Microsoft, Nisan ayında CVE-2025-29824 açığını istismar eden ve PipeMagic’ı dağıtan kötü niyetli aktörün “Storm-2460” olarak takip ettiğini bildirmiştir.
PipeMagic’ın Özellikleri
PipeMagic’ın benzersiz özelliklerinden biri, bir isimli boru (named pipe) oluşturmak için rastgele 16 baytlık bir dizi üretmesidir. Bu dizi, belirli bir biçimde formatlanır ve daha sonra sürekli olarak bu boruyu oluşturacak bir iş parçacığı başlatılır. İş parçacığı, bu borudan veri okuma girişiminde bulunur ve boruyu yok eder. Bu iletişim yöntemi, uzaktan erişim sağlamak için şifreli yükleri ve bildirimleri aktarmak amacıyla gereklidir.
Modüler Yapı ve Yükleme Yöntemleri
PipeMagic, Microsoft Azure bulut sağlayıcısında barındırılan ek bileşenleri sahnelemek için kullanılan bir modüler malware türüdür. 2025’te Suudi Arabistan ve Brezilya’ya yönelik saldırılarda, “metafile.mshi” adlı bir Microsoft Yardım İndeks dosyası yükleyici olarak kullanılmıştır. Bu yükleyici, gömülü shellcode’u şifre çözüp çalıştıran C# kodunu açar.
Kaspersky, 2025 yılında PipeMagic yükleyici kalıntılarının daha önce Ekim 2024’te görülen ChatGPT istemcisi gibi göründüğünü de ortaya koymuştur. Bu örnekler, bir Google Chrome güncellemesi dosyası gibi görünen kötü niyetli bir DLL’in çalıştırılmasını sağlamak için kullanılmıştır.
PipeMagic’ın Modülleri
PipeMagic, çeşitli modülleri destekleyen backdoor özelliğine sahiptir. Bunlar arasında:
- Asenkron iletişim modülü: Eklentiyi sonlandırmak, dosyaları okumak/yazmak, bir dosya işlemini sonlandırmak veya tüm dosya işlemlerini sonlandırmak için beş komut destekler.
- Yükleyici modülü: Ek yükleri belleğe enjekte etmek ve yürütmek için kullanılır.
- Enjektör modülü: C# yürütülebilir bir dosyayı başlatma işlevi görür.
Saldırı Trendleri ve Tehditin Sürekliliği
Kaspersky’nin raporuna göre, PipeMagic’ın Suudi Arabistan‘daki saldırılarda sürekli olarak tespit edilmesi ve Brezilya‘da ortaya çıkması, bu malware’ın hala aktif olduğunu ve saldırganların işlevselliğini geliştirmeye devam ettiğini göstermektedir. 2025’te tespit edilen versiyonlar, 2024 versiyonuna göre gelişmeler göstermektedir. Bu geliştirmeler, kurban sistemlerinde kalıcılığı artırma ve iç ağda hareket etme amacı gütmektedir.
2025’teki saldırılarda, saldırganların ProcDump aracını kullanarak bellek çıkartıp dllhost.exe olarak adlandırdığı kaydedilmiştir.
Sonuç olarak, PipeMagic gibi ciddî bir malware türünün varlığı, siber güvenlik alanında alınması gereken önlemleri bir kez daha gözler önüne sermektedir. Bu tür tehditlerle başa çıkmak için kurumların her zaman güncel güvenlik çözümleri kullanmaları ve siber saldırılara karşı hazır olmaları gerekmektedir.
