卡巴斯基全球研究与分析团队 (GReAT) 最近发现了一场新的恶意活动,该活动涉及 PipeMagic 木马。该木马的攻击目标已从亚洲实体转向到沙特阿拉伯的组织。攻击者使用伪造的 ChatGPT 应用程序作为诱饵,部署一个后门程序,既可以窃取敏感数据,又可以完全远程访问受感染的设备。该恶意软件还充当网关,能够引入额外的恶意软件并在企业网络中发起进一步的攻击。
卡巴斯基最初在2022年发现了 PipeMagic 后门,这是一个以亚洲实体为攻击目标的基于插件的木马。该恶意软件能够同时充当后门和网关。2024年9月,卡巴斯基的全球研究与分析团队(GReAT)观察到PipeMagic的再次出现,这次的攻击目标是沙特阿拉伯的组织。
这个版本的恶意软件使用了一个假冒的ChatGPT应用程序,由Rust编程语言编写。乍一看,它似乎是合法的,包含许多其他基于Rust的应用程序中常用的Rust库。但是,当执行时,该应用程序会显示一个没有可见界面的空白屏幕,并隐藏一个 105,615 字节的加密数据数组,这是一个恶意有效载荷。
假冒的应用程序会显示一个空白屏幕
在第二阶段,恶意软件通过使用名称哈希算法搜索相应的内存偏移量来查找关键的Windows API函数。然后,它分配内存,加载PipeMagic后门,调整必要的设置,并执行恶意软件。
PipeMagic 的一个独特功能是,它会生成一个 16 字节的随机数组,以 \\.\pipe\1.<hex string> 的格式创建一个命名管道。它会生成一个线程,不断创建该管道,从中读取数据,然后将其销毁。该管道用于接收编码的有效载荷,并通过默认本地接口接收停止信号。PipeMagic 通常使用从命令与控制(C2)服务器下载的多个插件一起工作,在本例中,该服务器托管在 Microsoft Azure 上。
“PipeMagic 木马最近从亚洲扩展到了沙特阿拉伯,这表明网络罪犯在不断改进他们的策略,以接触更多的受害者并扩大他们的影响力。鉴于其功能,我们预计利用此后门程序的攻击将会增加,”卡巴斯基全球研究与分析团队(GReAT)首席安全研究员Sergey Lozhkin评论说。
为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:
- 从互联网下载软件时要谨慎,尤其是从第三方网站下载时。尽量从所使用公司或服务的官方网站下载软件
- 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
- 使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力
- 为了实现端点级别的检测、响应和及时的事件修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
- 除了采用基础端点保护之外,还应实施企业级安全解决方案,在早期阶段检测网络层面的高级威胁,例如卡巴斯基反针对性攻击平台。
- 由于许多针对性攻击都始于网络钓鱼或其他社交工程技术手段,因此应引入安全意识培训并向团队传授实用技能,例如,通过卡巴斯基自动化安全意识平台来实现。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
