Эволюция бэкдора PipeMagic: от атак RansomExx до эксплуатации уязвимости CVE-2025-29824

Техническая эволюция угрозы

Первая версия PipeMagic проникала в системы через уязвимость EternalBlue (CVE-2017-0144), маскируясь под легитимную утилиту Rufus. Бэкдор отличался уникальным механизмом коммуникации через named pipes - динамически генерируемые каналы вида "\\.\pipe\1.<hex строка>", передающие зашифрованные данные через локальный интерфейс 127.0.0.1:8082. К 2024 году тактика изменилась: вместо эксплуатации уязвимостей злоумышленники стали использовать троянизированное приложение ChatGPT, написанное на Rust с фреймворками Tauri и Tokio. При запуске оно показывало пустой экран, но в фоне расшифровывало и исполняло AES-зашифрованный шелл-код размером 105 615 байт.

В 2025 году арсенал PipeMagic пополнился новыми методами загрузки:

• Подмена Microsoft Help Index (.mshi): Obfuscated C#-код расшифровывал RC4-зашифрованный шелл-код ключом "4829468622e6b82ff056e3c945dd99c94a1f0264d980774828aadda326b775e5" и исполнял его через WinAPI-функцию EnumDeviceMonitor.
• DLL Hijacking: Злоумышленники размещали вредоносный файл "googleupdate.dll" рядом с легитимным исполняемым файлом. Malicious-код в DllMain расшифровывал AES/CBC-зашифрованный payload (ключ "9C 3B A5 B2 D3 22 2F E5 86 3C 14 D5 13 40 D7 F9", IV "22 1B A5 09 15 04 20 98 AF 5F 8E E4 0E 55 59 C8").
• Обновлённый ChatGPT-троян: Аналогичен образцу 2024 года, но содержал строку "\.\pipe\magic3301" и идентичные библиотеки libaes, что указывает на преемственность кодовой базы.

Новые модули и тактика пост-эксплуатации

В 2025 году PipeMagic использовал три специализированных модуля, расширяющих функционал бэкдора:

1. Асинхронный коммуникационный модуль: Управлял файловыми операциями через I/O completion ports, поддерживая команды чтения/записи, блокировки файлов и управления флагами ошибок.
2. Инжектор payload: Создавал канал "\\.\pipe\test_pipe20.%d" для загрузки 64-битных исполняемых файлов, требующих экспорта функции DllRegisterService.
3. .NET-загрузчик: Патчил функции AmsiScanString и AmsiScanBuffer для обхода антивирусных проверок, обеспечивая скрытую загрузку .NET-приложений через mscoree.dll.

После компрометации системы злоумышленники применяли техники латерального перемещения, включая дамп памяти процесса LSASS с помощью утилиты ProcDump, замаскированной под "dllhost.exe". Команда вида "dllhost.exe $system32\dllhost.exe -accepteula -r -ma lsass.exe $appdata\FoMJoEqdWg" позволяла извлекать учетные данные, что полностью соответствует методике эксплуатации CVE-2025-29824, описанной Microsoft.

Выводы и рекомендации

Повторные атаки PipeMagic в Саудовской Аравии и появление в Бразилии подтверждают устойчивость угрозы. Эволюция бэкдора демонстрирует переход от эксплуатации известных уязвимостей к сложным техникам социнжиниринга (троянизированные приложения) и обходу систем защиты (патчинг AMSI). Эксперты BI.ZONE, участвовавшие в исследовании, подчеркивают критическую важность своевременного обновления систем и мониторинга подозрительной активности, связанной с созданием named pipes и использованием легитимных инструментов в нестандартных контекстах. Microsoft рекомендует уделить особое внимание контролю за процессами lsass.exe и проверке цифровых подписей системных утилит.

Domains

• aaaaabbbbbbb.eastus.cloudapp.azure.com

MD5

• 1a119c23e8a71bf70c1e8edf948d5181
• 5df8ee118c7253c3e27b1e427b56212c
• 60988c99fb58d346c9a6492b9f3a67f7
• 7e6bf818519be0a20dbc9bcb9e5728c6
• bddaf7fae2a7dac37f5120257c7c11ba
• e3c8480749404a45a61c39d9c3152251