2025年8月19日，《GBHackers》报道了PipeMagic恶意软件的兴起，这一恶意软件被归因于以经济利益为动机的威胁行为者Storm-2460，显示出网络威胁的不断演变。PipeMagic伪装成GitHub上真实的开源ChatGPT桌面应用程序，利用Windows公共日志文件系统(CLFS)中的CVE-2025-29824提权漏洞，导致针对各行各业的定向攻击的发生。

在调查中，微软威胁情报团队首次发现了PipeMagic，同时还揭示了攻击者如何使用certutil从被攻陷的合法网站下载恶意的MSBuild文件，从而在内存中执行后门。一旦部署，PipeMagic能够促进提权并在美国、欧洲、南美和中东等地区的IT、金融和房地产等多个行业部署赎金软件。

该恶意软件展现出灵活性和持久性的架构，通过专用的网络模块动态加载有效载荷，并使用TCP协议进行命令和控制（C2）通信，同时采用加密的进程间通信（IPC）通过命名管道来规避检测。PipeMagic以16字节随机机器人标识符初始化，并创建一个双向命名管道，格式为'\.\pipe\1.<Bot ID hex string>'，实现持续的有效载荷发送。

在数据传输和防御机制方面，PipeMagic利用硬编码的32字节RC4密钥解密的入站模块，通过SHA-1哈希验证并存储于双向链表结构中。该恶意软件维护四个链表：一个用于PE格式的原始有效载荷模块，一个用于加载到内存中的可执行模块，一个用于C2处理的网络列表，另一个列表则可能用于动态有效载荷的暂存。

配置信息，包括一个现已停用的C2域（aaaaabbbbbbb.eastus.cloudapp.azure.com:443），被解析以管理操作，并在测试阶段回退到本地回环。内嵌网络模块通过XOR解密，并通过aPLib解压，建立TCP连接，导出用于数据传输和终止的功能，同时限制每个会话的尝试次数为五次。

在与C2连接后，PipeMagic收集广泛的系统信息，包括机器人ID、操作系统版本、进程详情、完整性等级和域隶属关系，并通过带有随机路径的HTTP GET请求传输这些信息。其响应通过外部命令处理，触发内部后门功能，全面增强了模块管理和数据操作的能力，使得恶意软件拥有精细控制的能力，从提取元数据、重命名可执行文件到重新收集系统数据或通过命名管道进行加密有效载荷交换。

为应对这一威胁，各组织应在Microsoft Defender for Endpoint中启用篡改保护、网络保护及阻止模式下的EDR，同时实施自动化调查和云交付的保护措施。Microsoft Defender Antivirus将PipeMagic检测为Win32/64变体，对恶意软件检测、预防和与赎金软件相关的活动发出警报。漏洞管理工具会突显CVE-2025-29824暴露的风险，而Microsoft Security Copilot则提供事故调查、用户分析和威胁轮廓创建的快速书。

PipeMagic恶意软件的指标包括C2域aaaaabbbbbbb.eastus.cloudapp.azure.com:443、多个文件SHA-256哈希值以及特定的命名管道格式等，这些都是识别该恶意软件及其相关行为的重要工具。随着攻击模式的演变，企业必须采用有效的防御机制来打破这些复杂的攻击链，遏制网络犯罪集团的行动并强化其运营成本。

在2025年初的攻击中，Kaspersky的研究团队再次发现PipeMagic恶意软件在多个国家，包括巴西和中东地区的感染病例。这一恶意软件的重新出现以及其继续开发的新功能，表明PipeMagic仍在活跃，并针对新的目标进行攻击。最近的分析显示，攻击者采用了一种更为隐蔽的策略，即通过伪装成合法的ChatGPT客户应用程序来诱骗用户。这款伪造的应用程序以Rust语言编写，使用Tauri和Tokio框架进行开发，缺乏实际的用户功能，启动后仅显示空白屏幕，但却在后台执行了一些恶意活动。

通过对PipeMagic恶意软件演变的追踪，安全专家发现该恶意软件的架构和功能在不断完善，以适应网络安全的变化和抗击手段的提升。我们的发现促使企业和组织更加注重网络安全防护，鼓励采取全面的安全措施，以应对不断变化的网络威胁，通过设置安全政策、加强员工教育及采用先进的防御技术来增强抵御能力。随着网络安全威胁的增加，企业在确保操作的持续性和安全性方面必须付出更多的努力，以防范未来潜在的网络攻击。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！