卡巴斯基全球研究与分析团队(GReAT)与BI.ZONE漏洞研究专家合作,观察到最初于2022年12月发现的PipeMagic后门程序在2025年出现新的活动情况。该后门程序的攻击范围已扩大:最初在亚洲出现,随后于2024年底在沙特阿拉伯被检测到。近期的攻击显示,攻击者对沙特组织持续保持兴趣,同时向新地区扩张,尤其针对巴西的制造企业。
研究人员追踪了该恶意软件的演变过程,识别出攻击者战术中的关键变化,并针对微软漏洞CVE-2025-29824进行了技术分析。该漏洞是2025年4月修复的121个漏洞中唯一一个在实际环境中被积极利用的漏洞。PipeMaigc的感染链中集成的一个漏洞利用程序专门利用这个漏洞实施攻击。由于clfs.sys日志驱动程序存在缺陷,该漏洞可导致操作系统权限提升。
在2025年的某次攻击活动中,攻击者利用了一个微软帮助索引文件,它有两个用途:解密和执行 shellcode。shellcode 使用十六进制密钥通过 RC4 流密码进行加密。解密后,代码通过 WinAPI EnumDisplayMonitors 函数执行,允许通过进程注入动态解析系统 API 地址。
研究人员还发现了伪装成 ChatGPT 客户端的更新版本的PipeMagic加载程序。该应用程序与2024年针对沙特机构攻击活动中使用的版本高度相似——两者采用相同的Tokio和Tauri框架、相同版本的libaes加密库,并表现出相似的文件结构和行为特征。
“PipeMagic 的再次出现表明,这种恶意软件仍然活跃并持续演化。2024版本引入了多项增强功能,既能提升在受害者基础设施中的持久驻留能力,又可助长攻击者在目标网络内的横向移动,”卡巴斯基GReAT高级安全研究员Leonid Bezvershenko评论说。
“近年来,clfs.sys驱动越来越多的成为网络罪犯的攻击目标,特别是以获取经济利益为动机的攻击者。他们利用该驱动程序及其他驱动程序中的零日漏洞来提升权限并隐藏后续攻击活动。为了缓解此类威胁,我们建议使用EDR工具,”BI.ZONE漏洞研究负责人Pavel Blinnikov表示。
PipeMagic 是一款后门程序,卡巴斯基在 2022 年调查一起涉及 RansomExx 勒索软件的恶意攻击活动时首次发现。当时的受害者包括东南亚的工业企业。攻击者利用CVE-2017-0144漏洞获取内部基础设施的访问权限。该后门支持两种操作模式——既可充当功能完整的远程访问工具,也能作为网络代理使用,能够执行多种指令。2024 年 10 月,在针对沙特阿拉伯组织的攻击中观察到 PipeMagic 的新版本,它使用伪造的 ChatGPT 代理应用程序作为诱饵。
要阅读完整报告,请访问Securelist.com.
关于BI.ZONE
BI.ZONE 是一家数字风险管理专家,致力于帮助组织在网络空间安全地发展业务。我们设计创新的解决方案,以确保各种规模的 IT 基础设施的弹性。我们的业务组合还涵盖全方位的网络安全服务:从事件调查与威胁监控,到安全战略制定及专业功能外包。自 2016 年以来,BI.ZONE 已在金融、电信、能源、航空航天和许多其他行业实施了 1200 多个项目,为 15 个国家的 500 多家客户提供有效的保护。网站:www.bi.zone/eng/
关于全球研究与分析团队
全球研究与分析团队(GReAT)成立于 2008 年,是卡巴斯基的核心部门,负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前,GReAT 由 40 多名专家组成,他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用,他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务,以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情,请访问www.kaspersky.com。
