Microsoft je detaljno proučio način funkcionisanja PipeMagic-a, modularnog backdoora koji se koristi u više ransomware napada od početka ove godine.
Predstavljajući se kao legitimna open-source ChatGPT Desktop aplikacija, PipeMagic je sofisticirani maliciozni okvir koji hakerima omogućava pristup kompromitovanom sistemu.
Backdoor koristi module za različite funkcionalnosti, poput command-and-control (C&C) komunikacije, te je sposoban da dinamički izvršava payload-ove i pruži napadačima detaljnu kontrolu nad izvršavanjem koda, objašnjava Microsoft.
„Prebacivanjem mrežne komunikacije i backdoor zadataka na odvojene module, PipeMagic održava modularnu, prikrivenu i veoma proširivu arhitekturu, što detekciju i analizu čini znatno izazovnijom,“ navodi kompanija.
Pripisuje se finansijski motivisanom hakeru poznatom kao Storm-2460, povezanom sa RansomEXX ransomware-om. PipeMagic je korišćen u napadima koji eksploatišu Windows zero-day ranjivost označenu kao CVE-2025-29824, protiv organizacija u SAD-u, Evropi, Južnoj Americi i na Bliskom Istoku.
„Iako je broj pogođenih organizacija ograničen, upotreba zero-day eksploita u kombinaciji sa sofisticiranim modularnim backdoor-om za distribuciju ransomware-a čini ovu prijetnju posebno značajnom,“ ističe Microsoft.
U sklopu zabilježenih napada, PipeMagic je pokretan iz memorije. Kada se aktivira, malver dobija module kroz tzv. named pipe i skladišti ih u memoriji koristeći dvostruko povezane liste.
Zabilježeno je da koristi četiri strukture dvostruko povezanih lista – tri za skladištenje sirovih payload modula, već učitanih modula u memoriji i mrežnih modula – dok je četvrta vjerovatno korišćena dinamički od strane učitanih payload-ova.
Nakon što mrežni modul uspostavi C&C komunikaciju, backdoor prikuplja detaljne informacije o sistemu i šalje ih serveru, a zatim čeka dalja naređenja za izvršavanje.
Na osnovu odgovora sa C&C servera, backdoor može izvršiti osnovnu funkcionalnost, pokrenuti određeni modul, poslati poruku serveru, ugasiti mrežni modul i C&C komunikaciju ili aktivirati sve module sa specifičnim argumentima.
Funkcionalnosti PipeMagic-a omogućavaju mu interakciju sa modulima, njihovo brisanje (kao i sopstveno uklanjanje), pregled aktivnih procesa i ponovno prikupljanje sistemskih podataka.
„Kako malveri nastavljaju da se razvijaju i postaju sve sofisticiraniji, smatramo da je razumijevanje prijetnji poput PipeMagic-a ključno za izgradnju otpornih odbrana svake organizacije. Otkrivanjem unutrašnjih mehanizama ovog malvera, cilj nam je i da poremetimo alate protivnika i povećamo njihove operativne troškove, otežavajući i poskupljujući vođenje kampanja,“ zaključuje Microsoft.
Izvor: SecurityWeek
