Các nhà nghiên cứu an ninh mạng vừa cảnh báo về sự trở lại của PipeMagic, một loại mã độc tinh vi từng được phát hiện từ năm 2022 trong các chiến dịch tấn công bằng ransomware RansomExx.
Lần này, PipeMagic khai thác lỗ hổng bảo mật CVE-2025-29824 trong hệ thống Windows, dù Microsoft đã phát hành bản vá từ tháng 4/2025. Điều đáng lo ngại là các cuộc tấn công đang lan rộng từ Ả Rập Xê Út, Brazil đến nhiều khu vực khác trên thế giới.
PipeMagic được xác định là công cụ do nhóm tin tặc Storm-2460 vận hành. Đây là một mã độc dạng backdoor cho phép tin tặc kiểm soát từ xa máy tính nạn nhân. Với kiến trúc dạng mô-đun, PipeMagic có thể mở rộng chức năng, từ đánh cắp dữ liệu, tải thêm phần mềm độc hại, đến di chuyển sâu vào hệ thống mạng nội bộ.
Lần này, PipeMagic khai thác lỗ hổng bảo mật CVE-2025-29824 trong hệ thống Windows, dù Microsoft đã phát hành bản vá từ tháng 4/2025. Điều đáng lo ngại là các cuộc tấn công đang lan rộng từ Ả Rập Xê Út, Brazil đến nhiều khu vực khác trên thế giới.
PipeMagic được xác định là công cụ do nhóm tin tặc Storm-2460 vận hành. Đây là một mã độc dạng backdoor cho phép tin tặc kiểm soát từ xa máy tính nạn nhân. Với kiến trúc dạng mô-đun, PipeMagic có thể mở rộng chức năng, từ đánh cắp dữ liệu, tải thêm phần mềm độc hại, đến di chuyển sâu vào hệ thống mạng nội bộ.
Cách thức tấn công và xâm nhập
Trong các chiến dịch mới, tin tặc khai thác lỗ hổng trong Windows Common Log File System (CLFS) để leo thang đặc quyền. Sau đó, PipeMagic thường được phát tán thông qua tập tin Microsoft Help Index (.mshi) hoặc ứng dụng giả mạo như ChatGPT Client.- Tập tin độc hại giải nén mã C# rồi giải mã shellcode ẩn bên trong.
- Shellcode này tiếp tục triển khai mã độc và tải các mô-đun từ máy chủ điều khiển (C2), nhiều khi được lưu trữ trên nền tảng hợp pháp như Microsoft Azure.
- Để tránh bị phát hiện, PipeMagic không để lại dấu vết trên ổ cứng mà lưu dữ liệu trong bộ nhớ RAM, đồng thời dùng kỹ thuật DLL hijacking giả dạng file cập nhật Chrome.
Vì sao PipeMagic nguy hiểm?
Điểm nổi bật khiến PipeMagic đáng sợ:- Ẩn mình khéo léo: Dùng kênh giao tiếp riêng qua “named pipes” và bộ nhớ, khiến các công cụ bảo mật khó lần vết.
- Mô-đun đa năng: Hỗ trợ đọc/ghi file, chèn thêm mã độc, kiểm soát tiến trình, thu thập thông tin hệ thống.
- Khả năng mở rộng: Tin tặc có thể nạp thêm lệnh hoặc plugin mới bất cứ lúc nào.
- Mục tiêu toàn cầu: Đã được ghi nhận tại Trung Đông, Nam Mỹ, châu Âu và Mỹ, đặc biệt trong các ngành CNTT, tài chính, bất động sản.
Ảnh hưởng tới người dùng và doanh nghiệp
Một khi bị xâm nhập, doanh nghiệp có nguy cơ:- Bị đánh cắp dữ liệu nhạy cảm.
- Bị triển khai ransomware RansomExx, dẫn đến gián đoạn hoạt động.
- Tin tặc duy trì “cửa hậu” để tiếp tục khai thác trong lâu dài.
Giải pháp và khuyến nghị
Các chuyên gia khuyến cáo:- Cập nhật Windows ngay lập tức với bản vá CVE-2025-29824.
- Giám sát hệ thống để phát hiện các hành vi bất thường liên quan đến CLFS hoặc tiến trình giả mạo (ví dụ: dllhost.exe giả dạng).
- Hạn chế đặc quyền người dùng và quản trị, tránh cho tin tặc lợi dụng leo thang.
- Tăng cường cảnh giác với tập tin tải về từ nguồn không tin cậy, kể cả những gì trông như phần mềm hợp pháp.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối: