このマルウェアは「PipeMagic」と呼ばれるもので、感染したマシンにバックドア(正規の入口から入らずとも、自由に入り込める裏口)を仕掛けて機密データを抜き取るというものだ。このPipeMagicはゲートウェイとしても機能するため、マルウェアを追加で展開したり、企業ネットワーク全体でさらなる攻撃を仕掛けることも可能としている。
PipcMagicを最初に発見したのは2022年で、インドネシアの企業を標的としたプラグインベースのもの。その後影を潜めていたが、今年の9月にサウジアラビアの企業を標的として再開したことが確認されたという。
今回の手口は、流行りの生成AI「ChatGPT」を模したプログラムが起動し、一見すると正規のアプリケーションのように見えるが、実行すると空白の画面が表示されて、暗号化されているシステムの脆弱性を狙ったコードを実行して、メモリー上にPipeMagicをロードし実行。指令サーバー(今回はMicrosoft Azureにホスト)から複数のプラグインをダウンロードして動作する。
カスペルスキーのプリンシパルセキュリティリサーチャーは「より利益が出る対象を狙い、自分たちの存在を増大すべく戦略を進化させている。PipeMagicの機能を考えると、このバックドアを利用した攻撃は今後増えていくと予想します」とのこと。
とにかく、無闇矢鱈にソフトウェアをダウンロードせず、企業が指定されたものや信頼できる公式サイトからのみダウンロードすることが重要。もちろん、セキュリティ対策をしたうえでの話だが、一人ひとりの行動で防げることもあるので、セキュリティ意識を高くもって行動したい。
出典:カスペルスキー「バックドア『PipeMagic』を使用した企業を狙う攻撃活動の再開を確認」より
