マイクロソフトは、今年初めから複数のランサムウェア攻撃で使用されているモジュラー型バックドア「PipeMagic」の内部構造を詳しく調査しました。
正規のオープンソースChatGPTデスクトップアプリケーションを装い、PipeMagicは攻撃者に侵害されたシステムへの持続的なアクセスを提供する高度なマルウェアフレームワークです。
このバックドアは、コマンド&コントロール(C&C)通信など、さまざまな機能のためにモジュールを使用し、ペイロードの動的な実行や、攻撃者によるコード実行のきめ細かな制御を可能にしていると、マイクロソフトは説明しています。
「ネットワーク通信やバックドアのタスクを個別のモジュールに分担させることで、PipeMagicはモジュラー型でステルス性が高く、非常に拡張性の高いアーキテクチャを維持しており、検出や解析を著しく困難にしています」と同社は述べています。
金銭目的の脅威アクター「Storm-2460」(RansomEXXランサムウェアに関連)に帰属されており、PipeMagicはCVE-2025-29824として追跡されるWindowsゼロデイを悪用した攻撃で、米国、ヨーロッパ、南米、中東の組織を標的に使用されてきました。
「影響を受けた組織は限定的ですが、ゼロデイエクスプロイトの使用と、高度なモジュラー型バックドアによるランサムウェア展開の組み合わせは、この脅威を特に注目すべきものにしています」とマイクロソフトは述べています。
観測された攻撃の一環として、PipeMagicはメモリ上に展開されました。起動後、マルウェアは名前付きパイプを通じてモジュールを受信し、二重リンクリストを使ってメモリ上に保存しました。
このマルウェアは4つの二重リンクリスト構造を使用していることが確認されており、3つは生のペイロードモジュール、すでにメモリにロードされたモジュール、ネットワーキングモジュールの保存用、もう1つはロードされたペイロードによって動的に利用されていると考えられています。
広告。スクロールして続きをお読みください。
ネットワーキングモジュールがC&C通信を確立した後、バックドアは詳細なシステム情報を収集してサーバーに送信し、その後コマンドの実行を待機します。
受信したC&Cレスポンスに基づき、バックドアはコア機能の実行、特定モジュールの実行、C&Cへのメッセージ送信、ネットワーキングモジュールおよびC&C通信のシャットダウン、または特定の引数で全モジュールを呼び出すことができます。
PipeMagicがサポートするバックドア機能により、モジュールとの相互作用、モジュールや自身の削除、実行中プロセスの列挙、システム情報の再収集が可能です。
「マルウェアが進化し、より高度化し続ける中、PipeMagicのような脅威を理解することは、あらゆる組織の強固な防御構築に不可欠だと考えています。このマルウェアの内部構造を明らかにすることで、攻撃者のツールを妨害し、脅威アクターの運用コストを増加させ、彼らのキャンペーンの継続をより困難かつ高コストにすることを目指しています」とマイクロソフトは述べています。
関連記事: 別のランサムウェアグループ、Windowsの脆弱性をゼロデイで悪用
関連記事: ランサムウェアグループ、中国APTが最近のSAP NetWeaverの脆弱性を悪用
翻訳元: https://www.securityweek.com/microsoft-dissects-pipemagic-modular-backdoor/