近日,網絡安全公司 Kaspersky 發佈了一項調查報告,揭露了網絡犯罪分子如何利用一個假冒的 ChatGPT 應用程序來實施後門攻擊和傳播惡意軟件。令人關注的是,這些攻擊者的目標從2022年的亞洲轉向了2024年的沙特阿拉伯,顯示出他們的攻擊策略正在不斷演變。

黑客 網絡攻擊 (2)

圖源備註:圖片由AI生成,圖片授權服務商Midjourney

Kaspersky 的研究顯示,這次惡意活動涉及到名爲 PipeMagic 的木馬病毒。PipeMagic 是一種插件式木馬,作爲攻擊的 “網關”,可以深入滲透企業網絡。Kaspersky 的安全研究員 Sergey Lozhkin 表示,網絡犯罪分子不斷進化他們的策略,以獲取更多的受害者並擴展影響力。“隨着 PipeMagic 木馬從亞洲擴展到沙特阿拉伯,我們預計利用該後門的攻擊將會增加。”

PipeMagic 的一個獨特之處在於,它能夠生成一個16字節的隨機數組,以創建命名管道,格式爲 \.\pipe\1.< 十六進制字符串 >。它會生成一個線程,不斷創建這個管道、讀取數據,並最終銷燬它。這個管道用於接收編碼的有效載荷和停止信號,而 PipeMagic 通常會與多個從指揮控制(C2)服務器下載的插件一起運作,而此次的 C2服務器恰好託管在微軟的 Azure 平臺上。

在技術層面上,Kaspersky 解釋了這個假冒的 ChatGPT 應用是如何構建的。它使用了 Rust 編程語言,並且分階段操作。乍一看,這個應用似乎是合法的,包含了許多在其他 Rust 應用中常見的庫。然而,當這個應用被執行時,屏幕上顯示的是一片空白,沒有任何可見的界面,而隱藏着一個105,615字節的加密數據數組,這正是惡意載荷。

一旦這個惡意軟件被部署,它會開始搜索關鍵的 Windows API 函數,通過對應的內存偏移量使用名稱哈希算法進行搜索。接着,它會分配內存,加載 PipeMagic 後門,調整必要的設置,最後執行這個惡意軟件。

劃重點:

- 🦠 Kaspersky 發現黑客利用假冒 ChatGPT 應用程序傳播 PipeMagic 木馬。

- 🌍 攻擊目標從2022年的亞洲轉移至2024年的沙特阿拉伯,顯示網絡犯罪分子的策略升級。

- 🔍 PipeMagic 利用命名管道和插件技術,以便深入企業網絡進行惡意攻擊。