Mã độc PipeMagic malware, được cho là do tác nhân đe dọa có động cơ tài chính Storm-2460 phát triển, minh họa rõ nét sự tiến hóa không ngừng của các mối nguy hại không gian mạng. Mã độc này ngụy trang thành ứng dụng ChatGPT Desktop Application mã nguồn mở hợp pháp từ GitHub.

Tổng quan về PipeMagic Malware và Chiến thuật Khai thác

Kẻ Tấn Công và Đặc Điểm Ngụy Trang

PipeMagic malware là một backdoor mô-đun phức tạp, được thiết kế để tạo điều kiện thuận lợi cho các cuộc tấn công có mục tiêu. Ngụy trang dưới dạng một ứng dụng phổ biến, nó dễ dàng lừa người dùng cài đặt.

Mục tiêu chính của mã độc là leo thang đặc quyền và triển khai các biến thể mã độc ransomware trên các hệ thống bị xâm nhập.

Cơ Chế Khai thác Lỗ hổng

Mã độc khai thác CVE-2025-29824, một lỗ hổng CVE nghiêm trọng. Đây là lỗ hổng leo thang đặc quyền (Elevation-of-Privilege – EoP) trong Hệ thống Tệp Nhật ký Chung của Windows (Windows Common Log File System – CLFS).

Microsoft Threat Intelligence đã phát hiện PipeMagic malware trong quá trình điều tra các chuỗi tấn công. Trong đó, kẻ tấn công sử dụng công cụ certutil để tải xuống tệp MSBuild độc hại từ các trang web hợp pháp bị xâm nhập, dẫn đến việc thực thi backdoor trong bộ nhớ.

Để biết thêm chi tiết về phân tích của Microsoft, có thể tham khảo tại: Dissecting PipeMagic: Inside the Architecture of a Modular Backdoor Framework.

Phạm Vi Tấn Công và Mục Tiêu

Sau khi triển khai, PipeMagic malware cho phép leo thang đặc quyền và triển khai ransomware. Các lĩnh vực bị ảnh hưởng bao gồm công nghệ thông tin (IT), tài chính và bất động sản, trải rộng khắp Hoa Kỳ, Châu Âu, Nam Mỹ và Trung Đông.

Kiến Trúc Kỹ Thuật của PipeMagic

Thiết Kế Mô-đun và Giao Tiếp C2

Kiến trúc của mã độc nhấn mạnh tính linh hoạt và khả năng duy trì dai dẳng. Mã độc tự động tải các payload thông qua một mô-đun mạng chuyên dụng để giao tiếp Command-and-Control (C2) qua TCP.

Đặc biệt, mã độc sử dụng giao tiếp liên tiến trình (Inter-Process Communication – IPC) được mã hóa thông qua named pipes để né tránh các cơ chế phát hiện xâm nhập.

Quá Trình Khởi Tạo và Quản Lý Payload

PipeMagic malware khởi tạo bằng một mã định danh bot ngẫu nhiên 16 byte. Sau đó, nó tạo một luồng để thiết lập một named pipe hai chiều với định dạng .pipe1.. Điều này cho phép phân phối payload liên tục.

Các mô-đun đến được giải mã bằng khóa RC4 32 byte được mã hóa cứng. Tính toàn vẹn của chúng được xác thực qua hàm băm SHA-1 và được lưu trữ trong cấu trúc danh sách liên kết đôi (doubly linked list).

Cấu Trúc Danh Sách Mô-đun

Mã độc duy trì bốn danh sách như vậy để quản lý các thành phần khác nhau:

• Một danh sách cho các mô-đun payload thô ở định dạng PE (Portable Executable).
• Một danh sách khác cho các mô-đun thực thi được nạp vào bộ nhớ.
• Một danh sách mạng để xử lý C2.
• Một danh sách không xác định, có thể dùng cho việc dàn dựng payload động.

Cấu Hình và Giao Tiếp Mạng

Dữ liệu cấu hình, bao gồm một tên miền C2 hiện đã bị vô hiệu hóa (aaaaabbbbbbb.eastus.cloudapp.azure.com:443), được phân tích để quản lý các hoạt động. Mã độc có cơ chế dự phòng để chuyển về loopback cục bộ cho mục đích kiểm thử.

Mô-đun mạng nhúng, được giải mã bằng XOR và giải nén qua aPLib, thiết lập các kết nối TCP. Mô-đun này xuất các hàm để truyền và chấm dứt dữ liệu, đồng thời giới hạn số lần thử kết nối là năm lần mỗi phiên.

Thu Thập Thông Tin Hệ Thống

Khi kết nối C2 thành công, PipeMagic malware thu thập thông tin hệ thống mở rộng, bao gồm:

• Mã định danh bot.
• Phiên bản hệ điều hành.
• Chi tiết tiến trình.
• Mức độ toàn vẹn.
• Thông tin liên quan đến miền (domain affiliation).

Thông tin này được truyền đi qua các yêu cầu HTTP GET với các đường dẫn ngẫu nhiên.

Chức Năng Backdoor và Điều Khiển

Xử Lý Lệnh Nội Bộ

Các phản hồi từ C2 được xử lý thông qua các lệnh bên ngoài (outer commands) kích hoạt các chức năng backdoor bên trong (inner backdoor functionalities). Các chức năng này bao gồm:

• Quản lý mô-đun.
• Thao tác dữ liệu (data manipulation).
• Liệt kê tiến trình (process enumeration).
• Tự xóa (self-deletion).

Ví dụ, mã xử lý 0x1 xử lý các hoạt động cốt lõi như chèn, đọc, ghi hoặc xóa các mô-đun trong danh sách payload và thực thi, với các đối số cho chỉ mục, độ lệch, hàm băm và mã hóa.

Khả Năng Mở Rộng Mô-đun

Các lệnh tương tự tương tác với danh sách không xác định để thay đổi kích thước hoặc trích xuất, gợi ý vai trò phụ trợ trong khả năng mở rộng mô-đun của PipeMagic malware.

Các mã backdoor cung cấp quyền kiểm soát chi tiết, từ việc truy xuất siêu dữ liệu và đổi tên các tệp thực thi đến việc thu thập lại dữ liệu hệ thống hoặc giao tiếp với named pipes để trao đổi payload được mã hóa.

Biện Pháp Phòng Chống và Phát Hiện

Khuyến Nghị Bảo Mật từ Microsoft

Để chống lại mối đe dọa này, các tổ chức nên áp dụng các biện pháp bảo vệ sau trong Microsoft Defender for Endpoint:

• Bật tính năng bảo vệ chống giả mạo (tamper protection).
• Kích hoạt bảo vệ mạng (network protection).
• Kích hoạt EDR (Endpoint Detection and Response) ở chế độ chặn (block mode).
• Sử dụng các tính năng điều tra tự động và bảo vệ dựa trên đám mây.

Phát Hiện qua Microsoft Defender Antivirus

Microsoft Defender Antivirus nhận diện PipeMagic malware dưới dạng các biến thể Win32/64. Các cảnh báo được tạo ra cho việc phát hiện mã độc, ngăn chặn và các hoạt động liên quan đến ransomware.

Công Cụ Hỗ Trợ Điều Tra

Các công cụ quản lý lỗ hổng bảo mật sẽ làm nổi bật mức độ phơi nhiễm với CVE-2025-29824.

Microsoft Security Copilot cung cấp các promptbook cho việc điều tra sự cố, phân tích người dùng và lập hồ sơ mối đe dọa.

Các báo cáo phân tích mối đe dọa chi tiết các mẫu khai thác, nhấn mạnh sự cần thiết của các biện pháp phòng thủ kiên cường để phá vỡ các TTP (Tactics, Techniques, and Procedures) của kẻ tấn công và tăng chi phí hoạt động của chúng.

Các Chỉ Số Thỏa Hiệp (IOCs)

Dựa trên thông tin có sẵn, các chỉ số thỏa hiệp chính liên quan đến PipeMagic malware bao gồm:

• Tên mã độc: PipeMagic malware, các biến thể Win32/64.
• Tác nhân đe dọa: Storm-2460.
• Lỗ hổng khai thác: CVE-2025-29824 (Windows Common Log File System Elevation-of-Privilege).
• Cơ chế phân phối ban đầu: Sử dụng certutil để tải MSBuild độc hại từ các trang web hợp pháp bị xâm nhập.
• Giao thức C2: TCP, HTTP GET.
• Domain C2 (đã vô hiệu hóa):aaaaabbbbbbb.eastus.cloudapp.azure.com:443.
• Cơ chế giao tiếp nội bộ: Named pipes (dạng .pipe1.).
• Khóa giải mã module: Hardcoded RC4 32 byte.
• Hàm băm module: SHA-1.