カスペルスキーは10月17日、同社のグローバル調査分析チーム(GReAT)のリサーチャーが、トロイの木馬「PipeMagic」を使用する悪意のある攻撃活動を新たに発見したことを発表した。その概要は以下のとおり。
このバックドア型マルウェアを使用した攻撃は、標的を東南アジアの企業から中東の企業へとその範囲を拡大している。今回の手口は、偽のChatGPTアプリをおとりとしてこのバックドアを仕込み、機密データを抜き取るとともに、侵害されたデバイスへのフルリモートアクセスを可能にする。
PipeMagicはゲートウェイとしても機能するため、マルウェアを追加で展開したり、企業ネットワーク全体でさらなる攻撃を実行したりすることも可能。
GReATのリサーチャーが最初にバックドア型マルウェアのPipeMagicを発見したのは2022年。インドネシアの企業を標的としたプラグインベースのトロイの木馬で、バックドアとしてもゲートウェイとしても機能する。その後、2024年9月にこのPipeMagicを使用した攻撃活動が、サウジアラビアの企業を標的として再開したことを確認した。
今回発見した手口では、プログラミング言語のRustで作成された偽のChatGPTアプリが使われていた。これには、Rustで作られる多くのアプリケーションで使用されているRustライブラリーがいくつか含まれており、一見すると正規のアプリケーションに見える。
ところが、実行すると空白の画面が表示され、画面上にはインターフェイスは何も見えないが、悪意のあるペイロードである105,615バイト配列の暗号化データが隠れており、実行される。
第2段階では、この悪意のあるペイロードが名前付きハッシュアルゴリズムを用いて対応するメモリオフセットを検索し、Windows APIの主要な関数を探す。次に、メモリーを割り当ててバックドアPipeMagicをロードし、必要な設定を調整してから実行する。
PipeMagicの特徴の一つは、16バイトのランダム配列を生成して、「\\.\pipe\1. <16進数文字列>」という形式の名前付きパイプを作成すること。このパイプを継続的に作成するスレッドを生成し、そこからデータを読み取り、その後、それを破棄する。
このパイプは、暗号化されたペイロードや停止の信号をデフォルトのローカルインターフェイス経由で受信するために使用される。PipeMagicは通常、指令(C2)サーバーからダウンロードされた複数のプラグインで動作するが、今回、指令サーバーはMicrosoft Azureにホストされていた。
関連リンク