卡巴斯基發現PipeMagic後門通過假冒ChatGPT應用程序攻擊企業

卡巴斯基全球研究與分析團隊 (GReAT) 最近發現了一場新的惡意活動，該活動涉及 PipeMagic 木馬。該木馬的攻擊目標已從亞洲實體轉向到沙特阿拉伯的組織。攻擊者使用偽造的 ChatGPT 應(ying)用(yong)程(cheng)序(xu)作(zuo)為(wei)誘(you)餌(er)，部(bu)署(shu)一(yi)個(ge)後(hou)門(men)程(cheng)序(xu)，既(ji)可(ke)以(yi)竊(qie)取(qu)敏(min)感(gan)數(shu)據(ju)，又(you)可(ke)以(yi)完(wan)全(quan)遠(yuan)程(cheng)訪(fang)問(wen)受(shou)感(gan)染(ran)的(de)設(she)備(bei)。該(gai)惡(e)意(yi)軟(ruan)件(jian)還(hai)充(chong)當(dang)網(wang)關(guan)，能(neng)夠(gou)引(yin)入(ru)額(e)外(wai)的(de)惡(e)意(yi)軟(ruan)件(jian)並(bing)在(zai)企(qi)業(ye)網(wang)絡(luo)中(zhong)發(fa)起(qi)進(jin)一(yi)步(bu)的(de)攻(gong)擊(ji)。

卡巴斯基最初在2022年發現了 PipeMagic 後門，這是一個以亞洲實體為攻擊目標的基於插件的木馬。該惡意軟件能夠同時充當後門和網關。2024年9月，卡巴斯基的全球研究與分析團隊（GReAT）觀察到PipeMagic的再次出現，這次的攻擊目標是沙特阿拉伯的組織。

這個版本的惡意軟件使用了一個假冒的ChatGPT應用程序，由Rust編程語言編寫。乍一看，它似乎是合法的，包含許多其他基於Rust的應用程序中常用的Rust庫。但是，當該程序執行時會顯示一個沒有可見界麵的空白屏幕，並隱藏了一個 105,615 字節的加密數據數組，這是一個惡意有效載荷。

假冒的應用程序會顯示一個空白屏幕

在第二階段，惡意軟件通過使用名稱哈希算法搜索相應的內存偏移量來查找關鍵的Windows API函數。然後，通過分配內存，加載PipeMagic後門，調整必要的設置，執行惡意軟件。

PipeMagic 的一個獨特功能是，它會生成一個 16 字節的隨機數組，以 \\.\pipe\1.<hex string> 的(de)格(ge)式(shi)創(chuang)建(jian)一(yi)個(ge)命(ming)名(ming)管(guan)道(dao)。它(ta)會(hui)生(sheng)成(cheng)一(yi)個(ge)線(xian)程(cheng)，不(bu)斷(duan)創(chuang)建(jian)該(gai)管(guan)道(dao)，從(cong)中(zhong)讀(du)取(qu)數(shu)據(ju)，然(ran)後(hou)將(jiang)其(qi)銷(xiao)毀(hui)。該(gai)管(guan)道(dao)用(yong)於(yu)接(jie)收(shou)編(bian)碼(ma)的(de)有(you)效(xiao)載(zai)荷(he)，並(bing)通(tong)過(guo)默(mo)認(ren)本(ben)地(di)接(jie)口(kou)接(jie)收(shou)停(ting)止(zhi)信(xin)號(hao)。PipeMagic 通常使用從命令與控製（C2）服務器下載的多個插件一起工作，在本例中，該服務器托管在 Microsoft Azure 上。

要了解最新的 APT 活動和威脅領域的新趨勢，請點擊此處注冊參加安全分析師峰會。

為了避免成為已知或未知威脅行為者發動的針對性攻擊的受害者，卡巴斯基研究人員建議采取以下措施：

從互聯網下載軟件時要謹慎，尤其是從第三方網站下載時。盡量從所使用公司或服務的官方網站下載軟件。
為您的 SOC 團隊提供對最新威脅情報（TI）的訪問。卡巴斯基威脅情報門戶網站是卡巴斯基威脅情報的一站式訪問點，提供卡巴斯基超過20年來收集的網絡攻擊數據以及見解。
使用由GReAT專家開發的卡巴斯基在線培訓課程提升內部網絡安全團隊對抗最新針對性威脅的能力。
為了實現端點級別的檢測、響應和及時的事件修複，可以部署EDR解決方案，例如卡巴斯基端點檢測和響應。
除了采用基礎端點保護之外，還應實施企業級安全解決方案，在早期階段檢測網絡層麵的高級威脅，例如卡巴斯基反針對性攻擊平台。
由於許多針對性攻擊都始於網絡釣魚或其他社交工程技術手段，因此應引入安全意識培訓並向團隊傳授實用技能，例如，通過卡巴斯基自動化安全意識平台來實現。

END

文章分類