微軟威脅情報團隊揭露新型攻擊鏈,駭客透過PipeMagic後門木馬結合Windows CLFS權限提升漏洞,成功部署勒索軟體攻擊全球多個產業
微軟威脅情報團隊於8月18日發布報告指出,Storm-2460駭客組織正運用一款偽裝成ChatGPT桌面應用程式的複雜模組化後門木馬PipeMagic,作為攻擊鏈的核心工具散播Play勒索軟體。此攻擊行動利用CVE-2025-29824漏洞,該漏洞存在於Windows通用日誌檔案系統CLFS中,為權限提升漏洞,使攻擊者能在被入侵系統上獲取系統層級權限。
該漏洞於4月被發現時為零時差漏洞,位於CLFS驅動程式中。CLFS驅動程式是管理Windows各種服務和應用程式日誌記錄的核心元件,其重要性使得此漏洞具有極高的攻擊價值。儘管
微軟已在4月份的例行修補程式更新中修復此問題,Storm-2460組織仍持續利用受影響但尚未修補的系統進行攻擊。
值得注意的是,雖然微軟未直接將Play勒索軟體組織與Storm-2460關聯起來,但其他資安研究人員已發現兩者之間存在明確連結,顯示這可能是同一威脅行為者使用不同代號進行攻擊活動。
PipeMagic後門木馬技術剖析
感染過程始於一個惡意的記憶體載入程式,該程式巧妙地偽裝成開源ChatGPT桌面應用程式專案,將惡意程式碼隱藏在這款廣受歡迎的AI工具背後。攻擊者運用經修改的GitHub專案,嵌入惡意程式碼來在記憶體中解密並執行惡意載荷,這種手法不僅增加了偵測難度,也利用了用戶對知名AI工具的信任。
PipeMagic是一種透過TCP協議與命令控制伺服器通訊的模組化後門木馬,其命名源於其獨特的運作方式。啟動後,該惡意程式透過具名管道從C2伺服器接收載荷模組,實現動態功能擴展。
微軟威脅情報團隊的分析顯示,PipeMagic使用記憶體中的多個雙向鏈結清單來儲存模組,實現自動更新功能。這些鏈結清單各有不同用途,包括快取、執行和通訊功能,讓攻擊者能在後門程式的整個運作週期中持續操控並維持其功能。特別值得關注的是,PipeMagic還包含一個功能未明的連結串列,根據微軟分析,此串列可能是被載入的惡意負載所動態使用,而非後門木馬核心邏輯本身所使用。
最新威脅活動與演進
卡巴斯基研究人員最早於2022年12月發現PipeMagic。值得注意的是,在微軟4月份修補的121個漏洞中,CVE-2025-29824是唯一在真實環境中被實際攻擊的弱點,突顯了該漏洞在攻擊者工具庫中的特殊地位。
卡巴斯基全球研究與分析團隊資深資安研究員Leonid Bezvershenko表示,PipeMagic的再次出現證實此惡意程式仍然活躍並持續演進。最新版本引入了新功能,不僅增強了在受害者基礎設施內的持久性,還促進了在目標網路內的橫向移動能力。
一旦PipeMagic在攻擊鏈中部署完成,Storm-2460攻擊者會利用CLFS漏洞提升權限,隨後對被入侵的組織釋放勒索軟體。除了部署勒索軟體外,該組織還使用了更新版本的PipeMagic後門木馬,使攻擊者能在釋放勒索軟體後持續潛伏於受感染系統並執行其他惡意活動。
防護建議與應對措施
由於Storm-2460採用複雜攻擊鏈並利用尚未修補的系統漏洞,微軟強烈建議所有受CVE-2025-29824影響的組織立即更新系統修補程式。延遲修補不僅會持續暴露於風險中,更可能成為類似攻擊的目標。
組織應在Microsoft Defender for Endpoint中啟用防篡改保護和網路防護機制。微軟特別建議組織以阻擋模式運行端點偵測與回應系統,即使防毒軟體無法偵測威脅或處於被動模式,仍能有效攔截惡意程式。
微軟建議將調查與修復功能設為完全自動化,讓端點防護解決方案能立即回應警報並解決資安事件,有效降低警報數量並提升回應效率。組織也應開啟防毒軟體的雲端防護功能,以對抗快速演變的攻擊工具和技術。
微軟威脅情報團隊指出,雲端機器學習防護能阻擋大多數新型和未知變種威脅。隨著攻擊技術日趨複雜,傳統簽章式防護已無法有效應對,組織需要採用基於行為分析和機器學習的進階防護技術。
延伸閱讀:Storm-2603駭客組織部署AK47 C2框架 同時散布雙重勒索軟體
本文轉載自 DarkReading。