出典: BeeBright via Shutterstock
攻撃者は、高度でモジュール式のバックドアを展開しており、ChatGPT Desktop を装って自身を偽装し、Windows の重大な脆弱性を悪用して Play ランサムウェアを配信する攻撃チェーンの一部として利用しています。
Microsoft が Storm-2460 として追跡している Play ランサムウェアグループは、PipeMagic バックドアを展開し、CVE-2025-29824 という Windows Common Log File System (CLFS) の権限昇格の脆弱性を悪用する攻撃キャンペーンを実施しています。この脆弱性により、攻撃者は侵害されたシステム上でシステムレベルの権限を取得できます。Microsoft Threat Intelligence (MTI) は ブログ記事 で8月18日に明らかにしました。
この脆弱性は、CLFS ドライバー(さまざまな Windows サービスやアプリケーションのログ管理を行うカーネルレベルのコンポーネント)で発見され、4月に発見された時点ではゼロデイ脆弱性でした。Microsoft はこれを 4月の Patch Tuesday のセキュリティアップデートの一環として修正しました。
しかし、Storm-2460 は、米国、ヨーロッパ、南米、中東の IT、金融、不動産など複数の業界や地域の組織で、この脆弱性の影響を受けた未修正システムを悪用し続けています。
4月には、Microsoft が Storm-2460 を観測 し、このバグを利用して ランサムウェアを拡散 し、米国の IT および不動産業界、ベネズエラの金融会社、サウジアラビアの小売企業、スペインのソフトウェア企業を標的にしていることが確認されました。
PipeMagic バックドアの進化
ランサムウェアの展開に加え、このグループは PipeMagic バックドアの更新バージョンも使用しており、攻撃者はランサムウェアのペイロードを投下した後も感染システム上に存在し続け、他の活動を行うことができます。
Kaspersky の研究者(PipeMagic を2022年12月に初めて発見)と BI.ZONE 脆弱性研究の専門家は、PipeMagic バックドアに関連する2025年の新たな活動も観測しており、サウジアラビアの組織への「継続的な関心」とブラジルの製造業界への拡大が見られると、週末に公開されたブログ記事 で述べています。
実際、研究者によると、CVE-2025-29824 を標的とした活動は、4月に Microsoft が修正した121件のうち、実際に野生で悪用されていた 唯一のものであり、「PipeMagic 感染チェーンに統合されたエクスプロイト」と明確に関連付けられていたと記事は述べています。
「PipeMagic の再出現は、このマルウェアが依然として活動しており、進化し続けていることを示しています」と、Kaspersky グローバルリサーチ&アナリシスチームの上級セキュリティ研究者 Leonid Bezvershenko 氏は声明で述べ、最新バージョンは「被害者のインフラ内での持続性を高め、標的ネットワーク内での横移動を容易にする強化が加えられている」としています。
Microsoft は、現時点ではキャンペーンの規模や影響を受ける組織は「限定的」としつつも、「ゼロデイエクスプロイトの使用と、ランサムウェア配信のための高度なモジュール式バックドアの組み合わせにより、この脅威は特に注目に値する」と MTI は述べています。
複雑なバックドアの詳細解析
Storm-2460 の活動を分析する中で、Microsoft の研究者は PipeMagic バックドアの詳細を掘り下げ、その仕組みを明らかにしました。まず感染は、悪意のあるインメモリドロッパー として偽装 されているオープンソースの ChatGPT Desktop Application プロジェクトから始まり、人気の AI ツールの背後にマルウェアを隠しています。
「脅威アクターは、埋め込まれたペイロードをメモリ上で復号・実行する悪意のあるコードを含む、GitHub プロジェクトの改変バージョンを使用しています」と MTI の記事は述べています。
その 埋め込まれたペイロード が PipeMagic であり、これは TCP 経由でコマンド&コントロール(C2)サーバーと通信するモジュール式バックドアです。このマルウェアは、アクティブになると名前付きパイプと C2 サーバーを通じてペイロードモジュールを受け取ることから名付けられています。
「マルウェアは、これらのモジュールをメモリ上に二重リンクリストの一連として保存することで自己更新します」と MTI の記事は述べています。「これらのリストは、ステージング、実行、通信など異なる目的に使われ、脅威アクターがバックドアの機能をライフサイクル全体で操作・管理できるようにしています。」
PipeMagic には「即座に観測可能な機能を持たない」未知のリンクリストもあり、これはコアバックドアロジック自体ではなく、ロードされたペイロードによって動的に使用されている可能性が高いと MTI は述べています。
PipeMagic が攻撃チェーン内で稼働すると、Storm-2460 のアクターは CLFS エクスプロイトを利用して権限を昇格させ、侵害された組織に対してランサムウェアを実行します。
Storm-2460 の活動への防御策
Storm-2460 による高度な攻撃チェーンと、悪用可能な未修正システムの存在を踏まえ、Microsoft は CVE-2025-29824 の影響を受けるすべての組織に対し、まだであれば脆弱性を修正するよう推奨しています。
組織が自らを守るために取れる他の緩和策としては、Microsoft Defender for Endpoint で改ざん防止とネットワーク保護を有効にすることが挙げられます。Microsoft はまた、エンドポイント検出&応答(EDR) をブロックモードで実行し、アンチウイルスツールが脅威を検出しない場合やパッシブモードの場合でも悪意のあるアーティファクトをブロックするよう推奨しています。
また、組織は調査と修復を完全自動モードで構成し、エンドポイント保護ソリューションがアラートに即時対応して侵害を解決できるようにすることで、アラート量を大幅に削減できると Microsoft は述べています。さらに、アンチウイルス製品でクラウド配信型保護を有効にすることで、急速に進化する攻撃者のツールや手法にも対応でき、「クラウドベースの機械学習保護は新種や未知の亜種の大半をブロックする」と MTI は述べています。