Kaspersky、バックドア「PipeMagic」を使用した企業を狙う攻撃活動の再開を確認

~ 偽のChatGPTアプリケーションをおとりにし、東南アジアから中東へ拡大 ~

株式会社カスペルスキー

[本リリースは、2024年10月9日にKasperskyが発表したプレスリリースに基づき作成したものです]

--【概要】---
Kasperskyのグローバル調査分析チーム(GReAT)※のリサーチャーはこのたび、トロイの木馬「PipeMagic」を使用する悪意のある攻撃活動を新たに発見しました。このバックドア型マルウェアを使用した攻撃は、標的を東南アジアの企業から中東の企業へとその範囲を拡大しています。今回の手口は、偽のChatGPTアプリケーションをおとりとしてこのバックドアを仕込み、機密データを抜き取るとともに、侵害されたデバイスへのフルリモートアクセスを可能にします。PipeMagicはゲートウェイとしても機能するため、マルウェアを追加で展開したり、企業ネットワーク全体でさらなる攻撃を実行することも可能です。
--------------

GReATのリサーチャーが最初にバックドア型マルウェアのPipeMagicを発見したのは、2022年のことでした。インドネシアの企業を標的としたプラグインベースのトロイの木馬で、バックドアとしてもゲートウェイとしても機能します。その後、2024年9月にこのPipeMagicを使用した攻撃活動がサウジアラビアの企業を標的として再開したことを確認しました。

今回発見した手口では、プログラミング言語のRustで作成された偽のChatGPTアプリケーションが使われていました。これには、Rustで作られる多くのアプリケーションで使用されているRustライブラリがいくつか含まれており、一見すると正規のアプリケーションに見えます。ところが、実行すると空白の画面が表示され、画面上にはインターフェイスは何も見えませんが、悪意のあるペイロードである105,615バイト配列の暗号化データが隠れており、実行されます。

図:偽のChatGPTアプリケーションによって表示された空白の画面


第2段階では、この悪意のあるペイロードが名前付きハッシュアルゴリズムを用いて対応するメモリオフセットを検索し、Windows APIの主要な関数を探します。次に、メモリを割り当ててバックドアPipeMagicをロードし、必要な設定を調整してから実行します。

PipeMagicの特徴の一つは、16バイトのランダム配列を生成して、「\\.\pipe\1. <16進数文字列>」(バックスラッシュは半角)という形式の名前付きパイプを作成することです。このパイプを継続的に作成するスレッドを生成し、そこからデータを読み取り、その後、それを破棄します。このパイプは、暗号化されたペイロードや停止の信号をデフォルトのローカルインターフェイス経由で受信するために使用されます。PipeMagicは通常、指令(C2)サーバーからダウンロードされた複数のプラグインで動作しますが、今回、指令サーバーはMicrosoft Azureにホストされていました。

KasperskyのGReATでプリンシパルセキュリティリサーチャーを務めるセルゲイ・ロズキン(Sergey Lozhkin)は、次のようにコメントしています。「インドネシアからサウジアラビアへと拡大したPipeMagicを使用する攻撃の動きからも分かるように、サイバー犯罪者は、より利益が出る対象を狙い、また自分たちの存在を増大するべく常に戦略を進化させています。PipeMagicの機能を考えると、このバックドアを利用した攻撃は今後増えていくと予想します」

■ 既知または未知の攻撃者による標的型攻撃から企業や組織を保護するために、推奨する対策を紹介します。
・インターネットからソフトウェアをダウンロードする場合は、必ず企業やサービスの公式サイトからダウンロードするようにしてください。特にサードパーティのウェブサイトからダウンロードする場合は注意が必要です。
・SOCチームが最新の脅威インテリジェンスを利用できるようにしましょう。Kaspersky Threat Intelligenceは、当社の脅威インテリジェンスの単一のアクセスポイントで、20年以上にわたって収集してきたサイバー攻撃に関するデータや知見が集約されています。
・最新の標的型脅威に対応できるよう、GReATのエキスパートが開発した専門家向けのオンライントレーニングを利用し、自社のサイバーセキュリティ担当チームのスキルアップを推奨します。
・エンドポイントレベルでインシデントを検知・調査し、迅速に修復できるよう、Kaspersky Endpoint Detection and ResponseをはじめとしたEDRソリューションの導入が望ましいです。
・多くの標的型攻撃では、最初の段階でフィッシングやソーシャルエンジニアリング手法が使用されることから、Kaspersky Automated Security Awareness Platformなど、社員のセキュリティ意識を向上するためのトレーニングを導入し、実践的なスキルの習得を推奨します。

※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

Kaspersky について
Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくは https://www.kaspersky.co.jp/ をご覧ください。

すべての画像


ダウンロード
プレスリリース素材

このプレスリリース内で使われている画像ファイルがダウンロードできます

会社概要

株式会社カスペルスキー

12フォロワー

RSS
URL
https://www.kaspersky.co.jp/
業種
情報通信
本社所在地
東京都千代田区外神田3-12-8 住友不動産秋葉原ビル 7F
電話番号
03-3526-8520
代表者名
小林岳夫
上場
未上場
資本金
-
設立
2004年02月