Finansal olarak motive olmuş tehdit oyuncusu Storm-2460’a yatırılan pipemagik kötü amaçlı yazılım, siber tehlikelerin her zaman nasıl değiştiğinin dikkate değer bir örneğidir. GitHub’dan orijinal açık kaynaklı Chatgpt masaüstü uygulaması olarak poz veriyor.
Bu sofistike modüler arka kapı, Windows Ortak Günlük Dosya Sisteminde (CLFS) bir rivilge güvenlik açığı olan CVE-2025-29824’ten yararlanarak hedeflenen saldırıları kolaylaştırır.
Microsoft Tehdit İstihbaratı, rakiplerin tehlikeli bir msBuild dosyasını tehlikeye atılmış meşru web sitelerinden indirmek için sertifikalı kullandıkları saldırı zincirlerine yönelik araştırmalar sırasında pipemagik belirledi ve arka kapının bellek içi yürütülmesine yol açtı.
Bir kez konuşlandırıldıktan sonra Pipemagic, ABD, Avrupa, Güney Amerika ve Orta Doğu gibi bölgelerde BT, finans ve gayrimenkul dahil olmak üzere sektörler arasında ayrıcalık artış ve fidye yazılımı dağıtımını sağlar.
Sıfır gün sömürülmesini sağlar
Kötü amaçlı yazılım mimarisi, TCP üzerinden komut ve kontrol (C2) iletişimi için özel bir ağ modülü aracılığıyla yükleri dinamik olarak yükleyerek esneklik ve kalıcılığı vurgularken, tespit edilen borular aracılığıyla şifreli işlemler arası iletişim kullanılır.
Pipemagik, 16 baytlık rastgele bot tanımlayıcısıyla başlar ve ‘\. \ Boru \ 1 olarak biçimlendirilmiş çift yönlü bir boru oluşturmak için bir iplik oluşturur.
Gelen modüller, SHA-1 karma ile valide edilen ve iki katına bağlı bir liste yapısında saklanan sert kodlanmış 32 baytlık bir RC4 tuşu kullanılarak şifre çözülür.
Kötü amaçlı yazılım bu tür dört listeyi korur: biri PE formatında ham yük modülleri için, diğeri belleğe yüklenen yürütülebilir modüller, C2 kullanımı için bir ağ listesi ve muhtemelen dinamik yük evrelemesi için bilinmeyen bir liste.
Configuration data, including a now-disabled C2 domain (aaaaabbbbbbb.eastus.cloudapp.azure.com:443), is parsed to manage operations, with fallback to local loopback for testing.
APLIB yoluyla xor tanımlı ve dekomprese edilmiş gömülü ağ modülü, TCP bağlantıları kurar, veri iletimi ve sonlandırma için işlevleri dışa aktarırken, oturum başına beşle sınırlandırılır.
Gelişmiş yetenekler
C2 bağlantısı üzerine Pipemagik, bot kimliği, işletim sistemi sürümü, işlem detayları, bütünlük seviyeleri ve alan bağları gibi kapsamlı sistem bilgilerini toplar ve Randomize Yollarla HTTP GET istekleri aracılığıyla iletir.
Yanıtlar, iç arka kapı işlevlerini tetikleyen, modül yönetimini, veri manipülasyonunu, proses numaralandırmasını ve kendini aşılamayı sağlayan dış komutlar aracılığıyla işlenir.
Örneğin, 0x1 kodunun işlenmesi, endeksler, ofsetler, karmalar ve şifreleme argümanlarıyla yük ve yürütme modüllerini ekleme, okuma, yazma veya silme gibi çekirdek işlemleri işler.
Benzer komutlar, yeniden boyutlandırma veya ekstraksiyon için bilinmeyen listeyle etkileşime girerek modüler genişletilebilirlikte yardımcı roller önerir.
Arka kapı kodları, meta verilerin alınmasından ve yürütülebilir ürünleri yeniden adlandırılmasından sistem verilerinin hatırlanmasına veya şifreli yük borsaları için adlandırılmış borularla arayüze kadar ayrıntılı kontrol sağlar.
Bu tehdide karşı koymak için kuruluşlar, otomatik araştırma ve bulut tarafından teslim edilen korumaların yanı sıra, Microsoft Defender içindeki Blok Modunda kurcalama koruması, ağ koruması ve EDR’yi etkinleştirmelidir.
Microsoft Defender antivirüs, kötü amaçlı yazılım algılama, önleme ve fidye yazılım bağlantılı faaliyetler için uyarılarla Pipemagic’i Win32/64 varyantları olarak algılar.
Güvenlik Açığı Yönetimi Araçları CVE-2025-29824 pozlamayı vurgularken, Microsoft Güvenlik Copilot, olay araştırması, kullanıcı analizi ve tehdit profili oluşturma için hızlı kitaplar sunar.
Tehdit Analytics, rakip TTP’leri bozma ve operasyonel maliyetleri artırmak için esnek savunma ihtiyacını vurgulayarak sömürü modellerini ayrıntılı olarak bildirir.
Uzlaşma göstergeleri
| Gösterge | Tip | Tanım |
|---|---|---|
| aaaaabbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb[.]com: 443 | İhtisas | Pipemagik’in C2 alanı |
| Dc54117b965674bad3d7cd203ecf5e7fc822423a3f692895cf5e96e83fb88f6a | Dosya sha-256 karma | Bellek içi damlalık (Trojanize Chatgpt Masaüstü Uygulaması) |
| 4843429e2e8871847bc1e97a0f12fa1f4166baaa4735dff585cb3b4736e3fe49e | Dosya sha-256 karma | Pipemagik arka kapı (bellekte paketlenmemiş) |
| 297EA881AAA2B3946197BAF75D83B390F2C36A9A0A4815C81B5CF8BE42840FD1 | Dosya sha-256 karma | Pipemagik Ağ Modülü (bellekte paketlenmemiş) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!