微軟在今年4月的例行更新(Patch Tuesday)修補零時差漏洞CVE-2025-29824,並發布部落格文章指出,駭客組織Storm-2460鎖定有限數量的目標,將此漏洞用於散布勒索軟體RansomEXX,後續資安業者賽門鐵克發現勒索軟體駭客組織Play也加入漏洞利用的行列,如今又有資安業者公布新的調查結果。
資安業者卡巴斯基與BI.Zone聯手,針對駭客於近期勒索軟體RansomEXX的攻擊行動當中,利用後門程式PipeMagic觸發上述漏洞的情況進行說明。
卡巴斯基指出,RansomEXX於攻擊行動裡使用PipeMagic的情況最早可追溯到2022年,當時駭客針對東南亞工業而來,利用永恆之藍(EtneralBlue,CVE-2017-0144)入侵受害組織的基礎設施。但從2024年10月,駭客改以提供ChatGPT用戶端應用程式做為誘餌,對中東組織發動攻擊並散布PipeMagic,一旦這個假的ChatGPT用戶端程式啟動,就會透過AES解密,並利用Shell Code載入執行檔。值得一提的是,此惡意程式可藉由外掛程式擴充功能,駭客以Azure代管相關模組。
而到了今年1月,卡巴斯基在中東及巴西發現新的PipeMagic感染跡象,此時駭客開始運用CVE-2025-29824。究竟攻擊者如何入侵受害組織,卡巴斯基沒提出說明,但指出他們運用微軟的說明索引檔案metafile.mshi充當惡意程式載入工具,解密並以WinAPI功能執行Shell Code。
但除了上述MSHI檔案,卡巴斯基也看到以冒牌ChatGPT用戶端程式做為PipeMagic惡意程式載入工具的情況,此外,也有透過合法執行檔進行DLL挾持手法來達到目的,這次攻擊者使用的是Chrome更新元件,以此載入有問題的DLL檔。
無論用那一種惡意程式載入工具,駭客最終都在受害電腦執行PipeMagic。此外,該後門程式至少支援3種外掛模組,其中一種可建立非同步通訊,一種能在記憶體內注入其他有效酬載並執行,最後一種是以C#及.NET打造而成的有效酬載注入工具。
一旦駭客成功對目標電腦造成損害,他們就會試圖廣泛地橫向移動,並挖掘帳密資料。而在其中一項活動裡,駭客試圖執行dllhost.exe,並藉由Sysinternals套件提供的公用程式ProcDump,將LSASS處理程序的記憶體內容,轉存到指定的檔案,而這樣的手法,與先前微軟提及Storm-2460利用CVE-2025-29824的手段一致。
BI.Zone對於駭客如何利用漏洞,以俄語提出說明,例如,為了和clfs.sys進行互動,攻擊者事先建置名為PDUDrv.blf的組態檔案,然後他們試圖進行權限提升,並將有效酬載注入winlogon.exe,接著就是利用ProcDump試圖取得使用者帳密,最終導致勒索軟體加密檔案。
熱門新聞
2025-12-08
2025-12-08
2025-12-05
2025-12-08
2025-12-08
2025-12-04