卡巴斯基發(fā)現(xiàn)PipeMagic后門通過假冒ChatGPT應(yīng)用程序攻擊企業(yè)
卡巴斯基全球研究與分析團(tuán)隊(duì) (GReAT) 最近發(fā)現(xiàn)了一場新的惡意活動,該活動涉及 PipeMagic 木馬。該木馬的攻擊目標(biāo)已從亞洲實(shí)體轉(zhuǎn)向到沙特阿拉伯的組織。攻擊者使用偽造的 ChatGPT 應(yīng)用程序作為誘餌,部署一個(gè)后門程序,既可以竊取敏感數(shù)據(jù),又可以完全遠(yuǎn)程訪問受感染的設(shè)備。該惡意軟件還充當(dāng)網(wǎng)關(guān),能夠引入額外的惡意軟件并在企業(yè)網(wǎng)絡(luò)中發(fā)起進(jìn)一步的攻擊。
卡巴斯基最初在2022年發(fā)現(xiàn)了 PipeMagic 后門,這是一個(gè)以亞洲實(shí)體為攻擊目標(biāo)的基于插件的木馬。該惡意軟件能夠同時(shí)充當(dāng)后門和網(wǎng)關(guān)。2024年9月,卡巴斯基的全球研究與分析團(tuán)隊(duì)(GReAT)觀察到PipeMagic的再次出現(xiàn),這次的攻擊目標(biāo)是沙特阿拉伯的組織。
這個(gè)版本的惡意軟件使用了一個(gè)假冒的ChatGPT應(yīng)用程序,由Rust編程語言編寫。乍一看,它似乎是合法的,包含許多其他基于Rust的應(yīng)用程序中常用的Rust庫。但是,當(dāng)該程序執(zhí)行時(shí)會顯示一個(gè)沒有可見界面的空白屏幕,并隱藏了一個(gè) 105,615 字節(jié)的加密數(shù)據(jù)數(shù)組,這是一個(gè)惡意有效載荷。
假冒的應(yīng)用程序會顯示一個(gè)空白屏幕
在第二階段,惡意軟件通過使用名稱哈希算法搜索相應(yīng)的內(nèi)存偏移量來查找關(guān)鍵的Windows API函數(shù)。然后,通過分配內(nèi)存,加載PipeMagic后門,調(diào)整必要的設(shè)置,執(zhí)行惡意軟件。
PipeMagic 的一個(gè)獨(dú)特功能是,它會生成一個(gè) 16 字節(jié)的隨機(jī)數(shù)組,以 \\.\pipe\1.<hex string> 的格式創(chuàng)建一個(gè)命名管道。它會生成一個(gè)線程,不斷創(chuàng)建該管道,從中讀取數(shù)據(jù),然后將其銷毀。該管道用于接收編碼的有效載荷,并通過默認(rèn)本地接口接收停止信號。PipeMagic 通常使用從命令與控制(C2)服務(wù)器下載的多個(gè)插件一起工作,在本例中,該服務(wù)器托管在 Microsoft Azure 上。
要了解最新的 APT 活動和威脅領(lǐng)域的新趨勢,請點(diǎn)擊此處注冊參加安全分析師峰會。
為了避免成為已知或未知威脅行為者發(fā)動的針對性攻擊的受害者,卡巴斯基研究人員建議采取以下措施:
從互聯(lián)網(wǎng)下載軟件時(shí)要謹(jǐn)慎,尤其是從第三方網(wǎng)站下載時(shí)。盡量從所使用公司或服務(wù)的官方網(wǎng)站下載軟件。
為您的 SOC 團(tuán)隊(duì)提供對最新威脅情報(bào)(TI)的訪問。卡巴斯基威脅情報(bào)門戶網(wǎng)站是卡巴斯基威脅情報(bào)的一站式訪問點(diǎn),提供卡巴斯基超過20年來收集的網(wǎng)絡(luò)攻擊數(shù)據(jù)以及見解。
使用由GReAT專家開發(fā)的卡巴斯基在線培訓(xùn)課程提升內(nèi)部網(wǎng)絡(luò)安全團(tuán)隊(duì)對抗最新針對性威脅的能力。
為了實(shí)現(xiàn)端點(diǎn)級別的檢測、響應(yīng)和及時(shí)的事件修復(fù),可以部署EDR解決方案,例如卡巴斯基端點(diǎn)檢測和響應(yīng)。
除了采用基礎(chǔ)端點(diǎn)保護(hù)之外,還應(yīng)實(shí)施企業(yè)級安全解決方案,在早期階段檢測網(wǎng)絡(luò)層面的高級威脅,例如卡巴斯基反針對性攻擊平臺。
由于許多針對性攻擊都始于網(wǎng)絡(luò)釣魚或其他社交工程技術(shù)手段,因此應(yīng)引入安全意識培訓(xùn)并向團(tuán)隊(duì)傳授實(shí)用技能,例如,通過卡巴斯基自動化安全意識平臺來實(shí)現(xiàn)。