2025年8月18日Ravie Lakshmanan脆弱性 / クラウドセキュリティ
サイバーセキュリティ研究者は、Microsoft Windowsの現在は修正済みのセキュリティ脆弱性を脅威アクターが悪用し、RansomExxランサムウェア攻撃でPipeMagicマルウェアを展開している実態を明らかにしました。
これらの攻撃は、Windowsの共通ログファイルシステム(CLFS)に影響を与える特権昇格の脆弱性であるCVE-2025-29824の悪用を伴っており、この脆弱性は2025年4月にMicrosoftによって修正されました。KasperskyとBI.ZONEが本日発表した共同レポートで明らかにしています。
PipeMagicは、2022年に東南アジアの工業系企業を標的としたRansomExxランサムウェア攻撃の一環として初めて文書化されており、リモートアクセスを提供し、侵害されたホスト上で幅広いコマンドを実行できる本格的なバックドアとして機能します。
これらの攻撃では、脅威アクターが被害者のインフラに侵入するために、Windows SMBのリモートコード実行の脆弱性であるCVE-2017-0144を悪用していることが判明しています。2024年10月にサウジアラビアで観測されたその後の感染チェーンでは、偽のOpenAI ChatGPTアプリを餌にマルウェアを配布していました。
今年4月初め、MicrosoftはCVE-2025-29824の悪用とPipeMagicの展開を、Storm-2460として追跡している脅威アクターによるものと特定しました。
「PipeMagicのユニークな特徴の一つは、ランダムな16バイトの配列を生成し、それを用いて次の形式の名前付きパイプを作成することです:\\.\pipe\1.<hex string>」と、研究者のSergey Lozhkin、Leonid Bezvershenko、Kirill Korchemny、Ilya Savelyevは述べています。「その後、スレッドが起動され、このパイプを継続的に作成し、データの読み取りを試み、そして破棄します。この通信方法は、バックドアが暗号化されたペイロードや通知を送信するために必要です。」
PipeMagicはプラグインベースのモジュール型マルウェアであり、Microsoft Azureクラウドプロバイダー上にホストされたドメインを利用して追加コンポーネントを展開します。2025年の攻撃では、サウジアラビアとブラジルを標的に、Microsoft Help Indexファイル(「metafile.mshi」)をローダーとして利用していました。ローダーはC#コードを展開し、埋め込まれたシェルコードを復号・実行します。
「注入されたシェルコードは32ビットWindowsシステム用の実行可能コードです」と研究者らは述べています。「このシェルコード自体に埋め込まれた暗号化されていない実行ファイルをロードします。」
Kasperskyはまた、2025年にChatGPTクライアントを装ったPipeMagicローダーの痕跡も発見したと述べており、これは2024年10月に以前観測されたものと類似しています。これらのサンプルは、Google Chromeのアップデートファイル(「googleupdate.dll」)を模倣した悪意のあるDLLを実行するためにDLLハイジャック技術を利用していることが観測されています。
どのようなローディング手法が使われた場合でも、最終的にはさまざまなモジュールをサポートするPipeMagicバックドアの展開につながります –
- プラグインの終了、ファイルの読み書き、ファイル操作の終了、すべてのファイル操作の終了の5つのコマンドをサポートする非同期通信モジュール
- 追加のペイロードをメモリに注入して実行するローダーモジュール
- C#実行ファイルを起動するインジェクターモジュール
「サウジアラビアの組織に対する攻撃でPipeMagicが繰り返し検出され、さらにブラジルでも確認されたことは、このマルウェアが依然として活動中であり、攻撃者がその機能開発を継続していることを示しています」と研究者らは述べています。
「2025年に検出されたバージョンは、2024年版よりも改良されており、被害者のシステム内での持続性や内部ネットワーク内での横展開を目的としています。2025年の攻撃では、攻撃者はProcDumpツールをdllhost.exeにリネームして、LSASSプロセスからメモリを抽出していました。」
翻訳元: https://thehackernews.com/2025/08/microsoft-windows-vulnerability.html