Μια εξελιγμένη εκστρατεία κακόβουλου λογισμικού έχει εντοπιστεί, αξιοποιώντας το PipeMagic, ένα εξαιρετικά αρθρωτό backdoor που αναπτύχθηκε από τον οικονομικά υποκινούμενο παράγοντα απειλής Storm-2460.
Αυτό το προηγμένο κακόβουλο λογισμικό μεταμφιέζεται ως μια νόμιμη open-source εφαρμογή ChatGPT Desktop Application ενώ εκμεταλλεύεται τη μηδενικής ημέρας ευπάθεια CVE-2025-29824 στο Windows Common Log File System (CLFS) για να εγκαταστήσει ransomware σε πολλούς τομείς παγκοσμίως.
Βασικά σημεία
- Το PipeMagic μεταμφιέζεται σε ChatGPT Desktop App ενώ εκμεταλλεύεται μια ευπάθεια zero-day των Windows.
- Διαθέτει αρθρωτό σχεδιασμό με κρυπτογραφημένη επικοινωνία μέσω named pipe και δυναμική φόρτωση payloads για αποφυγή εντοπισμού.
- Ο Storm-2460 στοχεύει τον τομέα της πληροφορικής, τον χρηματοοικονομικό τομέα και τον κλάδο των ακινήτων παγκοσμίως.
Ο παράγοντας απειλής χρησιμοποιεί μια τροποποιημένη εκδοχή της δημοφιλούς ChatGPT Desktop Application διαθέσιμης στο GitHub, χρησιμοποιώντας την ως μηχανισμό διάδοσης για το backdoor PipeMagic.
Αυτή η παραπλανητική προσέγγιση επιτρέπει στο malware να παρακάμπτει την αρχική καχυποψία του χρήστη ενώ δημιουργεί επίμονη πρόσβαση στα παραβιασμένα συστήματα.
Οι παρατηρούμενοι στόχοι εκτείνονται από την τεχνολογία της πληροφορίας έως τους χρηματοοικονομικούς και τους τομείς ακινήτων στις Ηνωμένες Πολιτείες, την Ευρώπη, τη Νότια Αμερική και τη Μέση Ανατολή, δείχνοντας το ευρύ γεωγραφικό εύρος και τον διατομεακό αντίκτυπο της εκστρατείας.
PipeMagic modular backdoor
Η Microsoft αναφέρει ότι το PipeMagic χρησιμοποιεί μια πολύπλοκη ακολουθία μόλυνσης που ξεκινά με ένα κακόβουλο αρχείο MSBuild που κατεβαίνει μέσω του εργαλείου certutil από παραβιασμένους νόμιμους ιστότοπους.
Το αρχικό στάδιο περιλαμβάνει έναν in-memory dropper μεταμφιεσμένο ως η νόμιμη εφαρμογή ChatGPT, ο οποίος αποκρυπτογραφεί και εκκινεί το ενσωματωμένο payload PipeMagic απευθείας στη μνήμη για να αποφύγει τον εντοπισμό.
Το κακόβουλο λογισμικό δημιουργεί ένα μοναδικό bot identifier 16 byte για κάθε μολυσμένο host και δημιουργεί ένα named pipe χρησιμοποιώντας τη μορφή \.\pipe\1. για τη μεταφορά των payloads.
Bot ID generation
Αυτό το αμφίδρομο κανάλι επικοινωνίας επιτρέπει τη συνεχή ανάπτυξη modules ενώ διατηρεί τη μυστικότητα.
Το σύστημα χρησιμοποιεί κρυπτογράφηση RC4 με hardcoded κλειδί 32 byte και πραγματοποιεί έλεγχο hash SHA-1 για να διασφαλίσει την ακεραιότητα των payloads κατά τη μετάδοση.
Η τεχνική πολυπλοκότητα του PipeMagic έγκειται στη χρήση τεσσάρων διακριτών δομών διπλά συνδεδεμένων λιστών: payload, execute, network και unknown lists, καθεμία από τις οποίες εξυπηρετεί συγκεκριμένες λειτουργίες μέσα στην αρχιτεκτονική του backdoor.
Ενδοεπικοινωνία κακόβουλου λογισμικού
Το κακόβουλο λογισμικό διατηρεί επίμονη επικοινωνία command-and-control (C2) μέσω ενός ειδικού networking module που χειρίζεται TCP συνδέσεις με τον τομέα aaaaabbbbbbb.eastus.cloudapp.azure[.]com:443, τον οποίο η Microsoft έχει στη συνέχεια απενεργοποιήσει.
Το backdoor υποστηρίζει περισσότερες από 20 διαφορετικές επιχειρησιακές εντολές, συμπεριλαμβανομένης της αναγνώρισης συστήματος, της διαχείρισης modules, της απαρίθμησης διεργασιών και της εκτέλεσης payloads.
Κρίσιες δυνατότητες περιλαμβάνουν τον κώδικα backdoor 0xF για αυτοδιαγραφή και 0x11 για αντικατάσταση module, επιτρέποντας δυναμική επιχειρησιακή προσαρμογή.
Το malware συλλέγει εκτενή πληροφοριακά στοιχεία του συστήματος, συμπεριλαμβανομένης της έκδοσης λειτουργικού συστήματος, της συμμετοχής σε domain, των επιπέδων ακεραιότητας και της διαμόρφωσης δικτύου, προτού μεταδώσει δεδομένα στους servers C2.
Μέτρα προστασίας
Η Microsoft συνιστά την ενεργοποίηση tamper protection και network protection στο Defender for Endpoint, μαζί με την υλοποίηση του EDR σε block mode για αντιμετώπιση artifact μετά την παραβίαση.
Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στην εγκατάσταση patches για το CVE-2025-29824 και να αξιοποιήσουν την προστασία που παρέχεται από το cloud για άμυνα απέναντι σε ταχέως εξελισσόμενες παραλλαγές επιθέσεων.
Το Microsoft Defender XDR παρέχει συγκεκριμένες ανιχνεύσεις για παραλλαγές PipeMagic, συμπεριλαμβανομένων ειδοποιήσεων για ενεργές διαδικασίες malware και δραστηριότητες ομάδων απειλών που σχετίζονται με ransomware.
Η εκστρατεία αναδεικνύει τη ζωτική σημασία της διατήρησης ενημερωμένων ελέγχων ασφαλείας και της παρακολούθησης για ύποπτες επικοινωνίες μέσω named pipe και ασυνήθιστη συμπεριφορά εφαρμογών ChatGPT σε εταιρικά περιβάλλοντα.
