🎹 PipeMagic возвращается: новый виток атак через уязвимости Windows

Исследователи сообщили о новой волне атак с использованием бэкдора PipeMagic. Впервые замеченный в 2022 году, этот вредонос эволюционирует: он по-прежнему способен красть данные, давать злоумышленникам полный удалённый доступ, работать как прокси и развертывать дополнительный софт для бокового перемещения в сетях.

В прошлых кампаниях PipeMagic использовался вместе с вымогателем Nokoyawa, где применялась уязвимость в драйвере Windows Common Log (CVE-2023-28252). В 2024 году атаки были зафиксированы в Саудовской Аравии, а теперь география расширилась — под удар попали и промышленные компании Бразилии.

Текущая активность связана с эксплуатацией свежей уязвимости CVE-2025-29824 в драйвере clfs.sys, которую Microsoft закрыла в апреле 2025 года. Эта брешь позволяла поднимать привилегии до уровня локального администратора, воровать учётные данные и шифровать файлы. В некоторых случаях атакующие задействовали даже индексные файлы справки Microsoft для запуска шелл-кода.

Эксперты отмечают, что разработчики PipeMagic внесли изменения в код, усилив механизмы закрепления в сети жертвы и упростив горизонтальное перемещение. Драйвер clfs.sys уже не впервые становится целью киберпреступников: эксплойты нулевого дня для него всё чаще фигурируют в атаках, где на кону стоит финансовая выгода.

📌 Фактически PipeMagic закрепился как «универсальный инструмент» для APT-групп: сначала точечные атаки в Азии, теперь масштабирование и адаптация под новые регионы и уязвимости.

Типичный 🥸 Сисадмин

🏖 Инструменты и лайфхаки для ДИТов и инженеров

🟣 VDI против дефицита кадров
— решение проблемы в инженерных компаниях.

🟣 Сколько стоит инфра
— как посчитать совокупную стоимость владения.

👑 Почему ты всё ещё не Senior?

🟣Linux для сетевых инженеров
— практическое руководство по настройке, защите и запуску сетевых служб на базе Linux.

🟣 Сохранение ресурсов Kubernetes
— два способа корректного сохранения и последующего восстановления ресурсов.

🟣 Настройка basicAuth в Traefik
— как правильно создать секрет в Kubernetes.

➡️ Подписаться

Реклама ООО "Кортэл"
ИНН: 7816246925

Большая пропаганда MTR

Типичный 🌚 Сисадмин

Microsoft встроила Copilot прямо в ячейки Excel 🎩

Работает это как любая другая формула. Вы пишете =COPILOT(), а в скобках указываете промпт и, при необходимости, диапазон ячеек для контекста.

Представьте, какие горизонты это открывает для бухгалтеров, hr и манагеров:

=COPILOT("Напиши поздравительную речь для дня рождения коллеги", B2, "но сделай так, чтобы было понятно, что мы скинулись по 100 рублей")

=COPILOT("Придумай 3 умных вопроса к этому отчету для совещания", 'Sheet2'!A1:Z100, "чтобы показать, что я его прочитала")

=COPILOT("Найди в этой таблице креативные способы оптимизации налогов", A1:F500, "но чтобы выглядело законно")

=COPILOT("Налей воды в этот отчет", 'Отчет'!A1:A50, "чтобы он выглядел на пару страниц длиннее")

Пока что это доступно только для платных подписчиков Microsoft 365 Copilot ($30/мес) на бета-канале. Но очевидно, что со временем это станет стандартом.

Типичный 😬 Сисадмин

Топология "Бабочка" 🦋

Это когда единая точка отказа.

Типичный 🏥 Сисадмин

Держишь аптайм и штаны на одном кабеле.

Типичный 🥸 Сисадмин

Скупой платит дважды. А в IT — данными 😶

Типичный 🥸 Сисадмин

Артефакт ушедшей эпохи.

Брелок из настоящего Microdrive от старого iPod mini. Когда-то на этих 4 ГБ умещалась вся музыкальная коллекция.

Типичный 🥸 Сисадмин

MemOps 😃

Идеальный баг-репорт и не менее идеальный ответ 😬

Типичный 🥸 Сисадмин

IPv6 станет обязательным для DNS-резолверов, чтобы ускорить смерть IPv4

Исследователи предложили IETF принять новый стандарт, который сделает поддержку IPv6 обязательной для всех операторов DNS-резолверов. Новый документ, draft-ietf-dnsop-3901bis-04, призван заменить древний, как мир, RFC3901 от 2004 года (эпохи, когда Sun Microsystems еще была жива).

Технически это нужно, чтобы побороть фрагментацию пространства имён, когда часть интернета просто перестает существовать, потому что DNS-резолвер не может достучаться до нужного сервера из-за несовпадения версий IP. Новый драфт рекомендует, чтобы все авторитативные и рекурсивные резолверы были dual-stack, чтобы они могли общаться с кем угодно, независимо от версии IP.

Но на самом деле, тут все гораздо прозаичнее. Это просто попытка сдуть пузырь на рынке IPv4. Адреса превратились в товар, которым торгуют, набивая себе карманы. А простой люд вынужден городить костыли вроде NAT и платить за то, что по своей сути должно быть просто техническим ресурсом. Выходит, что одна из целей этого стандарта - убить этот рынок, обесценить IPv4-адреса и сделать так, чтобы они снова стали просто цифрами, а не спекулятивным активом.

Зачем нам решать проблему, если на ней можно зарабатывать? 🤑

Типичный 🥸 Сисадмин

А вы никогда не задумывались, почему IPv6, которому уже скоро 30 лет, до сих пор не взлетел? Это не случайность. Это бизнес. Существует целая IPv4-мафия 💰, картель старых провайдеров, корпораций и брокеров, которые в свое время за копейки получили огромные блоки адресов. Теперь эти адреса их главный актив, их цифровое золото.

Они не заинтересованы в переходе на IPv6, ведь это обрушит их рынок. Поэтому они десятилетиями тихо саботируют внедрение нового протокола, распространяют слухи о его сложности и небезопасности, лоббируют свои интересы и специально выпускают оборудование и софт с кривой поддержкой IPv6 😬. Зачем им решать проблему, если на ней можно так хорошо зарабатывать, продавая адреса и навязывая костыли вроде CGNAT?

Типичный 🏥 Сисадмин

Типичный 🌚 Сисадмин

🔍 Исследователь загрузил данные всех 270 000 сотрудников Intel с внутреннего сайта с визитными карточками. И ему даже не заплатили

Исследователь Eaton Z нашёл дыру в корпоративном сайте Intel для заказа визиток и смог скачать почти гигабайт персональных данных всех 270 000 сотрудников компании. Доступ открывался через обход проверки в JavaScript: достаточно было «убедить» функцию getAllAccounts, что пользователь авторизован, после чего API щедро выдавало имена, должности, номера телефонов, адреса и информацию о менеджерах.

Но на этом веселье не закончилось. Eaton нашёл ещё три уязвимых внутренних ресурса Intel. Два из них («Product Hierarchy» и «Product Onboarding») содержали хардкодированные пароли, которые легко расшифровывались и давали админский доступ. Третий, «SEIMS Supplier Site», позволял обойти корпоративный логин и снова скачивать всё подряд.

Intel закрыла все дыры к концу февраля 2025-го, но исследователь не получил ни копейки — уязвимости не подошли под условия bug bounty. За несколько месяцев Intel ответила ему ровно один раз — автоответчиком. Eaton назвал историю «Intel Outside».

Типичный 🥸 Сисадмин

Сначала ты просто втыкаешь планки, потому что больше значит лучше. Потом ты узнаёшь про тайминги, двухканальный режим и золотые правила сборки. А потом ты понимаешь, что 48 ГБ на низкой частоте для твоих виртуалок важнее, чем 32 ГБ на высокой, и осознанно идёшь на смешивание.

Типичный 🥸 Сисадмин