管道魔法再现:卡巴斯基发现与CVE-2025-29824漏洞利用相关的进化版后门程序
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
卡巴斯基报告指出,名为PipeMagic的复杂后门程序持续威胁沙特阿拉伯和巴西的组织。该恶意软件利用微软零日漏洞CVE-2025-29824,展现出强大的适应性和持久性。攻击者通过虚假应用和云基础设施增强隐蔽性,实施间谍和勒索活动。
🎯
关键要点
- 卡巴斯基报告揭示了名为PipeMagic的复杂后门程序对沙特阿拉伯和巴西组织的持续威胁。
- 该恶意软件利用微软零日漏洞CVE-2025-29824,展现出强大的适应性和持久性。
- PipeMagic首次出现于2022年12月,最初与RansomExx勒索软件活动相关。
- 攻击者使用虚假ChatGPT应用传播PipeMagic,利用Rust语言和Tauri框架开发。
- 2025年,攻击者使用伪装成微软帮助索引文件的加载器样本,提升隐蔽性和持久性。
- 后门保留了命名管道通信机制,并利用本地监听器确保隐蔽通信。
- 新发现的PipeMagic插件包括异步通信模块、加载器模块和注入器模块,增强了攻击者的灵活性。
- 攻击者滥用ProcDump工具提取LSASS内存,获取凭据并在网络中横向移动。
- PipeMagic展示了高级威胁行为者的持久性和恶意软件的不断演变。
- 卡巴斯基警告该恶意软件仍然活跃,攻击者持续开发其功能。
❓
延伸问答
PipeMagic恶意软件的主要威胁对象是哪些国家的组织?
PipeMagic主要威胁沙特阿拉伯和巴西的组织。
CVE-2025-29824漏洞是如何被PipeMagic利用的?
PipeMagic利用CVE-2025-29824漏洞,通过伪装成微软帮助索引文件的加载器样本来增强隐蔽性。
PipeMagic的传播方式有哪些?
攻击者通过虚假ChatGPT应用和云基础设施传播PipeMagic,增强了隐蔽性。
PipeMagic的技术特征和功能模块有哪些?
PipeMagic包括异步通信模块、加载器模块和注入器模块,增强了攻击者的灵活性。
攻击者如何在网络中横向移动?
攻击者滥用重命名为dllhost.exe的ProcDump工具,从LSASS内存中提取凭据以实现横向移动。
卡巴斯基对PipeMagic的警告是什么?
卡巴斯基警告称PipeMagic仍然活跃,攻击者持续开发其功能,尤其在沙特阿拉伯和巴西的攻击中反复检测到。
➡️
