卡巴斯基发现PipeMagic后门通过假冒ChatGPT应用程序攻击企业
卡巴斯基全球研究与分析团队 (GReAT) 最近发现了一场新的恶意活动,该活动涉及 PipeMagic 木马。该木马的攻击目标已从亚洲实体转向到沙特阿拉伯的组织。攻击者使用伪造的 ChatGPT 应用程序作为诱饵,部署一个后门程序,既可以窃取敏感数据,又可以完全远程访问受感染的设备。该恶意软件还充当网关,能够引入额外的恶意软件并在企业网络中发起进一步的攻击。
卡巴斯基最初在2022年发现了 PipeMagic 后门,这是一个以亚洲实体为攻击目标的基于插件的木马。该恶意软件能够同时充当后门和网关。2024年9月,卡巴斯基的全球研究与分析团队(GReAT)观察到PipeMagic的再次出现,这次的攻击目标是沙特阿拉伯的组织。
这个版本的恶意软件使用了一个假冒的ChatGPT应用程序,由Rust编程语言编写。乍一看,它似乎是合法的,包含许多其他基于Rust的应用程序中常用的Rust库。但是,当该程序执行时会显示一个没有可见界面的空白屏幕,并隐藏了一个 105,615 字节的加密数据数组,这是一个恶意有效载荷。
假冒的应用程序会显示一个空白屏幕
在第二阶段,恶意软件通过使用名称哈希算法搜索相应的内存偏移量来查找关键的Windows API函数。然后,通过分配内存,加载PipeMagic后门,调整必要的设置,执行恶意软件。
PipeMagic 的一个独特功能是,它会生成一个 16 字节的随机数组,以 \\.\pipe\1.<hex string> 的格式创建一个命名管道。它会生成一个线程,不断创建该管道,从中读取数据,然后将其销毁。该管道用于接收编码的有效载荷,并通过默认本地接口接收停止信号。PipeMagic 通常使用从命令与控制(C2)服务器下载的多个插件一起工作,在本例中,该服务器托管在 Microsoft Azure 上。
要了解最新的 APT 活动和威胁领域的新趋势,请点击此处注册参加安全分析师峰会。
为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:
从互联网下载软件时要谨慎,尤其是从第三方网站下载时。尽量从所使用公司或服务的官方网站下载软件。
为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
使用由GReAT专家开发的卡巴斯基在线培训课程提升内部网络安全团队对抗最新针对性威胁的能力。
为了实现端点级别的检测、响应和及时的事件修复,可以部署EDR解决方案,例如卡巴斯基端点检测和响应。
除了采用基础端点保护之外,还应实施企业级安全解决方案,在早期阶段检测网络层面的高级威胁,例如卡巴斯基反针对性攻击平台。
由于许多针对性攻击都始于网络钓鱼或其他社交工程技术手段,因此应引入安全意识培训并向团队传授实用技能,例如,通过卡巴斯基自动化安全意识平台来实现。