Анализ PipeMagic: Раскрыта архитектура модульного бэкдора для целевых атак

Microsoft Threat Intelligence обнародовала детали технического анализа PipeMagic - сложного модульного бэкдора, используемого группировкой Storm-2460. Инструмент маскируется под легитимное приложение ChatGPT Desktop, но представляет собой гибкую платформу для скрытного управления зараженными системами и развертывания ransomware. Атаки зафиксированы в IT, финансовом и риелторском секторах США, Европы, Южной Америки и Ближнего Востока.

Описание

Технические особенности и векторы атак

PipeMagic выделяется модульной архитектурой, разделяющей функционал на независимые компоненты. После проникновения через скомпрометированный MSBuild-файл, бэкдор использует уязвимость нулевого дня CVE-2025-29824 в Windows Common Log File System (CLFS) для повышения привилегий. Ключевой элемент - динамическая загрузка модулей через именованные каналы (named pipes) и шифрованное взаимодействие с C2-сервером.

Менеджмент модулей организован через четыре двунаправленных связных списка:
- Payload List хранит сырые модули в формате PE;
- Execute List содержит готовые к запуску модули;
- Network List управляет сетевым взаимодействием;
- Unknown List (предположительно) используется для вспомогательных задач.

Механизмы скрытности и управления

При запуске PipeMagic генерирует уникальный 16-байтовый идентификатор жертвы, на основе которого создает именованный канал для приема модулей. Данные передаются в структурированном формате, включающем флаги инициализации, хеши SHA-1 и индексы модулей. Каждый модуль расшифровывается RC4 с жестко заданным 32-байтовым ключом ("7b c6 ea 4b ... 34 4d fa"), после чего проверяется его целостность.

Конфигурация бэкдора хранится в зашифрованных блоках с индексами. Блок "1" содержит адрес C2-сервера "aaaaabbbbbbb.eastus.cloudapp.azure[.]com:443", уже заблокированный Microsoft. В тестовом режиме PipeMagic использует локальный адрес 127.0.0.1:8082.

Сетевое взаимодействие и сбор данных

Коммуникация с C2 делегируется специализированному сетевому модулю, который внедряется через XOR-дешифровку и aPLib-распаковку. Модуль регистрирует три функции для отправки данных, проверки состояния и аварийной остановки. Установка соединения имитирует WebSocket-апгрейд через HTTP-запрос со случайным 16-символьным путем.

После подключения PipeMagic собирает детальную информацию о системе:

Идентификатор бота, версию ОС, имя компьютера;
Данные о домене, группах безопасности, уровне целостности процесса;
IP-адрес, список активных процессов, содержимое списков Execute и Unknown.

Командный контроль и функционал

C2-сервер отправляет команды через "коды обработки", определяющие дальнейшие действия:

Код 0x1 активирует основные функции бэкдора, включая управление модулями (запись, чтение, удаление), запуск исполняемого кода и сбор метаданных;
Код 0x8 работает со "списком Unknown", позволяя изменять размеры буферов модулей;
Код 0x7 полностью останавливает сетевую активность.

Среди 20+ внутренних команд выделяются:

Динамическая загрузка модулей в память с вызовом точек входа;
Самообновление через замену модулей с проверкой хешей;
Межпроцессное взаимодействие через каналы;
Принудительное самоудаление исполняемого файла.

Значимость для кибербезопасности

PipeMagic демонстрирует тренд на рост сложности инструментов финансово мотивированных групп. Использование zero-day уязвимости, многоуровневое шифрование и децентрализованная архитектура значительно затрудняют обнаружение. Microsoft подчеркивает, что опубликованные индикаторы компрометации (IoC) и методы анализа помогут SOC-командам выявлять подобные угрозы. Эксперты ESET и Kaspersky также подтверждают рост активности Storm-2460, связывая группу с целевыми атаками под ransomware.

Раскрытие внутренней логики PipeMagic увеличивает операционные издержки злоумышленников, вынуждая их модифицировать инструментарий. Однако модульный дизайн позволяет быстро адаптировать бэкдор под новые задачи, что требует постоянного мониторинга сетевых аномалий и подозрительной активности процессов.