最近、Kaspersky社は調査報告を発表し、偽のChatGPTアプリケーションを利用したバックドア攻撃とマルウェア拡散の手口を明らかにしました。注目すべきは、2022年にはアジアを標的にしていた攻撃者が、2024年にはサウジアラビアに標的を変えていることで、攻撃戦略の進化が見て取れます。
画像出典:AI生成画像、画像ライセンス提供元Midjourney
Kasperskyの調査によると、この悪質な活動にはPipeMagicというトロイの木馬型ウイルスが関与しています。PipeMagicはプラグイン型のトロイの木馬で、攻撃の「ゲートウェイ」として企業ネットワークに深く侵入します。Kasperskyのセキュリティ研究者であるSergey Lozhkin氏は、サイバー犯罪者はより多くの被害者を得て影響力を拡大するために、戦略を常に進化させていると述べています。「PipeMagicトロイの木馬がアジアからサウジアラビアに拡大したことで、このバックドアを利用した攻撃は増加すると予想されます。」
PipeMagicの独特な点は、16バイトのランダムな数値配列を生成し、\\.\pipe\1.<16進数文字列>という形式の命名パイプを作成することです。そして、このパイプを絶えず作成し、データを読み取り、最終的に破棄するスレッドを生成します。このパイプは、エンコードされたペイロードと停止信号を受信するために使用され、PipeMagicは通常、コマンドアンドコントロール(C2)サーバーからダウンロードされた複数のプラグインと連携して動作します。今回のC2サーバーは、マイクロソフトのAzureプラットフォーム上にホストされていました。
技術的な面では、Kasperskyは偽のChatGPTアプリケーションの構築方法を説明しています。Rustプログラミング言語を使用しており、段階的に動作します。一見すると、このアプリケーションは合法的に見えます。他のRustアプリケーションで一般的に使用されているライブラリが多く含まれています。しかし、このアプリケーションが実行されると、画面には何も表示されず、105,615バイトの暗号化されたデータ配列(これが悪意のあるペイロードです)が隠されています。
このマルウェアが展開されると、重要なWindows API関数を検索し、対応するメモリオフセットを使用して名前ハッシュアルゴリズムで検索します。次に、メモリを割り当て、PipeMagicバックドアをロードし、必要な設定を行い、最終的にこのマルウェアを実行します。
要点:
- 🦠 Kasperskyは、ハッカーが偽のChatGPTアプリケーションを利用してPipeMagicトロイの木馬を拡散していることを発見。
- 🌍 攻撃対象が2022年のアジアから2024年のサウジアラビアに移行しており、サイバー犯罪者の戦略の高度化を示唆。
- 🔍 PipeMagicは命名パイプとプラグイン技術を利用して、企業ネットワークに深く侵入し悪意のある攻撃を実行。
