Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công phức tạp, nơi các tác nhân đe dọa sử dụng Tệp Chỉ Mục Trợ Giúp của Microsoft (.mshi) để triển khai PipeMagic backdoor. Đây là một bước tiến đáng chú ý trong các phương pháp phân phối phần mềm độc hại.

Lỗ hổng CVE-2025-29824 và Khai thác Zero-Day

Sự phát triển của chiến dịch này gắn liền với việc khai thác CVE-2025-29824, một lỗ hổng zero-day leo thang đặc quyền trong trình điều khiển Windows Common Log File System (CLFS). Microsoft đã phát hành bản vá cho lỗ hổng này vào ngày 8 tháng 4 năm 2025.

Lỗ hổng cho phép kẻ tấn công leo thang đặc quyền từ một tài khoản người dùng tiêu chuẩn, giúp chúng chiếm quyền điều khiển hệ thống một cách trái phép. Điều này tạo điều kiện thuận lợi cho việc triển khai ransomware bởi các nhóm như Storm-2460, thường sử dụng các phương thức như RDP và ScreenConnect.

Chiến thuật này phản ánh việc sử dụng các công cụ như ProcDump được đổi tên để trích xuất thông tin đăng nhập, tương tự như các khai thác CVE-2025-29824 tạo các tệp CLFS BLF như C:ProgramDataSkyPDFPDUDrv.blf và tiêm vào các tiến trình hệ thống.

Để biết thêm thông tin về lỗ hổng, bạn có thể tham khảo tại: NVD – CVE-2025-29824.

Sự Tiến Hóa của PipeMagic Backdoor qua các Năm

Giai đoạn Phát hiện Ban đầu: 2022

PipeMagic backdoor lần đầu tiên được xác định vào tháng 12 năm 2022 trong các chiến dịch RansomExx nhắm vào các công ty công nghiệp ở Đông Nam Á. Kể từ đó, nó đã liên tục điều chỉnh các chiến thuật của mình.

Chiến thuật trong năm 2024

Vào năm 2024, PipeMagic backdoor đã giả mạo thành một ứng dụng ChatGPT giả mạo để xâm nhập các tổ chức ở Ả Rập Xê Út. Trong giai đoạn này, nó sử dụng các bộ tải (loader) dựa trên Rust, được xây dựng với các framework Tauri và Tokio.

Các bộ tải này có nhiệm vụ giải mã và thực thi các payload được mã hóa thông qua shellcode.

Sự Đổi Mới trong năm 2025

Đến năm 2025, các đợt lây nhiễm đã lan rộng đến Brazil và Ả Rập Xê Út. Kẻ tấn công sử dụng mã C# bị làm rối (obfuscated) trong các tệp .mshi để giải mã shellcode được mã hóa RC4 và tiêm các file thực thi 32-bit.

Các bộ tải này tự động phân giải các hàm API bằng cách sử dụng băm FNV-1a. Chúng tạo ra các ống dẫn có tên (named pipes) như \.pipe1.<hex string> để liên lạc mã hóa và giao tiếp với một điểm cuối mạng cục bộ tại 127.0.0.1:8082.

Các biến thể năm 2025 cũng giới thiệu các cơ chế tải đa dạng, bao gồm kỹ thuật tấn công DLL hijacking với các tệp hợp pháp như googleupdate.dll. Logic độc hại nằm trong DllMain để giải mã các payload được mã hóa AES ở chế độ CBC bằng cách sử dụng các khóa và IV cụ thể.

Một khi được triển khai, PipeMagic backdoor tạo ra các mảng 16-byte ngẫu nhiên cho tên ống dẫn. Nó hỗ trợ các chế độ đồ họa mặc dù không có giao diện người dùng, điều này cho phép nó duy trì sự tồn tại và di chuyển ngang trong mạng.

Cơ Chế Hoạt Động Kỹ Thuật của PipeMagic

Microsoft đã quy kết hoạt động liên quan đến việc khai thác sau xâm nhập (post-compromise exploitation). Trong đó, PipeMagic backdoor tải xuống các module từ các miền Azure bị xâm nhập, dẫn đến việc đánh cắp thông tin đăng nhập (credential dumping) thông qua các công cụ như ProcDump được ngụy trang thành dllhost.exe.

Các Module Mới và Chức Năng Mở Rộng

Các module mới được phát hiện tăng cường chức năng của PipeMagic backdoor:

• Plugin Giao tiếp Bất đồng bộ: Sử dụng các cổng hoàn thành I/O (I/O completion ports) để xử lý các hoạt động tệp như đọc, ghi và gắn cờ lỗi thông qua một danh sách liên kết đôi của các mô tả (descriptors). Nó hỗ trợ các lệnh để khởi tạo, chấm dứt và xử lý dữ liệu.
• Module Tải (Loader Module): Tiêm các payload 64-bit bằng cách phân tích tài nguyên (resources), di chuyển các import (relocating imports) thông qua so sánh tên và gọi các hàm được xuất (exported functions) như DllRegisterService để trao đổi dữ liệu. Theo báo cáo của Kaspersky, đây là một phần quan trọng trong khả năng của mã độc này. Xem báo cáo chi tiết về PipeMagic từ Kaspersky.
• Module Tiêm (Injector Module): Vá các giao diện AMSI trong amsi.dll để tránh bị phát hiện. Module này tải các payload .NET thông qua mscoree.dll sau khi kiểm tra các phiên bản runtime như 4.0.30319 hoặc 2.0.50727.

Chỉ Số Lây Nhiễm (IOCs) và Biện Pháp Giảm Thiểu

Giai đoạn hậu khai thác bao gồm việc đổ bộ nhớ LSASS bằng ProcDump đã được đổi tên để trích xuất thông tin đăng nhập.

Các Chỉ Số Lây Nhiễm (IOCs)

Các chỉ số lây nhiễm liên quan đến chiến dịch PipeMagic và các tấn công ransomware đi kèm bao gồm:

• Named Pipes:\.pipe1.<hex string>
• Điểm cuối Mạng Cục bộ:127.0.0.1:8082
• Tên tệp giả mạo:dllhost.exe (được dùng để ngụy trang ProcDump)
• Tệp CLFS BLF độc hại:C:ProgramDataSkyPDFPDUDrv.blf
• Phần mở rộng tệp ngẫu nhiên cho các tệp bị mã hóa.
• Tên miền .onion trong các ghi chú đòi tiền chuộc.
• Lệnh vô hiệu hóa phục hồi:

  bcdedit /set {current} safeboot minimal
  wbadmin delete catalog -quiet
  vssadmin delete shadows /all /quiet

Khuyến Nghị Phòng Ngừa và Cập nhật Bản Vá

Microsoft khuyến nghị áp dụng các bản vá bảo mật, kích hoạt các biện pháp bảo vệ do đám mây cung cấp trong Microsoft Defender và sử dụng EDR (Endpoint Detection and Response) ở chế độ chặn (block mode) để giảm thiểu các mối đe dọa như PipeMagic backdoor.

Việc thường xuyên thực hiện cập nhật bản vá là yếu tố then chốt để bảo vệ hệ thống khỏi các lỗ hổng đã biết và các chiến thuật tấn công mới. Bằng cách kết hợp các chiến lược này, các tổ chức có thể nâng cao khả năng phát hiện xâm nhập và phòng thủ trước các mối đe dọa mạng tinh vi.