Tin tặc lợi dụng Microsoft Help Index File để phát tán mã độc PipeMagic

Tran Hoang PhongTran Hoang Phong
5 min read

Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch mới lợi dụng tệp Microsoft Help Index (.mshi) để phát tán backdoor PipeMagic, đánh dấu bước tiến mới trong chiến thuật của nhóm tin tặc kể từ khi mã độc này xuất hiện năm 2022. Chiến dịch hiện đã nhắm vào nhiều tổ chức tại Ả Rập Xê Út và Brazil trong năm 2025, cho thấy khả năng tinh chỉnh liên tục của kẻ tấn công trong việc duy trì sự hiện diện và mở rộng phạm vi hoạt động.

PipeMagic: Quá trình tiến hóa và các chiến dịch trước đây

PipeMagic lần đầu được ghi nhận vào tháng 12/2022 trong chiến dịch ransomware RansomExx nhắm vào doanh nghiệp công nghiệp tại Đông Nam Á. Sau đó, mã độc nhanh chóng trở nên nguy hiểm hơn khi lợi dụng lỗ hổng CVE-2025-29824 – vốn đã được Microsoft cảnh báo là đang bị khai thác tích cực trước bản vá tháng 4/2025.

Trước đó, nhóm vận hành PipeMagic từng khai thác lỗ hổng CVE-2017-0144, và đến nay đã phát triển thêm nhiều kịch bản social engineering tinh vi. Các chuyên gia ghi nhận rằng chiến dịch 2025 đã mở rộng địa bàn sang nhiều khu vực, không chỉ dừng ở Đông Nam Á như trước. PipeMagic vẫn duy trì đặc tính cốt lõi: vừa hoạt động như công cụ truy cập từ xa (RAT), vừa như network gateway hỗ trợ di chuyển ngang trong hệ thống nạn nhân.

Vũ khí hóa tệp .mshi và khai thác MSBuild

Điểm mới nổi bật trong chiến dịch lần này là việc tin tặc biến tệp Microsoft Help Index (.mshi) – vốn chỉ dùng để chứa metadata cho tài liệu trợ giúp – thành công cụ phát tán mã độc.

Hình 1. Nội dung của metafile.mshi

Các tệp .mshi bị cấy ghép mã C# đã được làm rối cùng với payload được mã hóa. Khi được thực thi, chúng khai thác hợp pháp framework MSBuild để chạy mã độc, từ đó vượt qua cơ chế bảo mật vốn chủ yếu tập trung phát hiện các định dạng thực thi phổ biến như .exe hay .dll. Cách tiếp cận này giúp chiến dịch ẩn mình hiệu quả hơn, vì quá trình tải xuống và thực thi đều thông qua công cụ Microsoft hợp pháp, khiến nhiều hệ thống giám sát khó phát hiện.

Chuỗi lây nhiễm tinh vi và cơ chế hoạt động của PipeMagic

Quá trình lây nhiễm bắt đầu khi nạn nhân mở tệp metafile.mshi chứa đoạn mã C# bị làm rối cùng một chuỗi hex dài. Mã này được kích hoạt bởi lệnh gọi MSBuild, tiến hành giải mã shellcode bằng thuật toán RC4 với khóa cố định dài 64 ký tự:

c:\windows\system32\cmd.exe "/k

c:\windows\microsoft.net\framework\v4.0.30319\msbuild.exe c:\w

Sau khi giải mã, shellcode được nạp thông qua hàm API Windows EnumDeviceMonitor, lợi dụng tham số thứ ba để nhúng con trỏ shellcode trong khi hai tham số đầu tiên bị đặt về 0 nhằm tránh phát hiện.

Shellcode được thiết kế riêng cho hệ thống Windows 32-bit, sử dụng nhiều kỹ thuật né tránh phân tích như phân tích bảng export và thuật toán băm FNV-1a để truy xuất động địa chỉ API. Cuối cùng, nó tải xuống một file thực thi không mã hóa được nhúng sẵn, cài đặt PipeMagic backdoor và thiết lập kênh liên lạc qua named pipe tại 127.0.0.1:8082, cho phép kẻ tấn công kiểm soát hệ thống từ xa, đánh cắp dữ liệu và thực hiện di chuyển ngang trong hệ thống bị xâm nhập.

IOCs liên quan tới mã độc PipeMagic

Domain

aaaaabbbbbbb.eastus.cloudapp.azure[.]com

File hash

ValueTypeDescription
5df8ee118c7253c3e27b1e427b56212cMD5metafile.mshi
60988c99fb58d346c9a6492b9f3a67f7MD5chatgpt.exe
7e6bf818519be0a20dbc9bcb9e5728c6MD5chatgpt.exe
e3c8480749404a45a61c39d9c3152251MD5googleupdate.dll
1a119c23e8a71bf70c1e8edf948d5181MD5
bddaf7fae2a7dac37f5120257c7c11baMD5

Khuyến nghị

FPT Threat Intelligence khuyến nghị tổ chức và cá nhân triển khai một số biện pháp nhằm phòng tránh chiến dịch tấn công lợi dụng tệp Microsoft Help Index (.mshi) để phát tán PipeMagic backdoor:

  • Tăng cường kiểm soát email và tệp tải về: Áp dụng cơ chế lọc email nghiêm ngặt để ngăn chặn tệp đính kèm lạ hoặc định dạng ít phổ biến như .mshi. Hạn chế tải và mở tệp từ nguồn không rõ ràng, kể cả khi chúng xuất hiện hợp pháp.

  • Giám sát hành vi thực thi trong hệ thống: Theo dõi các tiến trình liên quan đến MSBuild.exe, cmd.exe và các hành vi bất thường như tải/giải mã shellcode trong bộ nhớ, lợi dụng API lạ (ví dụ: EnumDeviceMonitor), hoặc tạo tiến trình con ngoài mong đợi.

  • Tăng cường bảo vệ hệ thống và dữ liệu nhạy cảm: Triển khai cơ chế kiểm soát truy cập theo nguyên tắc tối thiểu (least privilege), hạn chế quyền thực thi tại thư mục tạm (%TEMP%), đồng thời giám sát hoạt động với các tệp quan trọng (.docx, .pdf, .xls) để ngăn rò rỉ dữ liệu.

  • Nâng cao nhận thức an ninh cho người dùng cuối: Đào tạo nhân viên về nguy cơ từ các định dạng file ít phổ biến, cách nhận diện tài liệu giả mạo, cũng như thói quen không mở file lạ nhận được qua email hoặc kênh chia sẻ không đáng tin cậy.

  • Thiết lập hệ thống giám sát và phát hiện xâm nhập: Theo dõi lưu lượng mạng nội bộ để nhận diện kết nối bất thường, đặc biệt là các kết nối pipe nội bộ (127.0.0.1:8082) hoặc các hành vi beaconing đến C2. Tích hợp IOC từ chiến dịch này vào hệ thống SIEM/EDR để phát hiện sớm.

Tham khảo

0
Subscribe to my newsletter

Read articles from Tran Hoang Phong directly inside your inbox. Subscribe to the newsletter, and don't miss out.

pipemagicMalwarethreat intelligence

Written by

Tran Hoang Phong
Tran Hoang Phong

Just a SOC Analyst ^^