Proofpointの研究者たちは、ドイツの様々な業界の数十の組織を対象とした悪意のあるキャンペーンを観察した。この攻撃の一部で特に目立ったのは、そのコードが明らかに人工知能(AI)によって生成された、通常のマルウェアドロッパーであった。
初期アクセスブローカー(IAB)であるTA547は、フィッシング攻撃でこのAI生成ドロッパーを使用している。しかし、これが今後の兆候であるかもしれないが、まだパニックになる段階ではない。マルウェアに対する防御は、誰がそれを書いたかに関わらず同じであり、AIによるマルウェアがすぐに世界を支配することはないだろう。
TA547は、Trickbotの取引で知名度を得たが、Gozi/Ursnif、Lumma stealer、NetSupport RAT、StealC、ZLoaderなど、他の多くの人気のあるサイバー犯罪ツールを使用してきた。
その攻撃は、例えばドイツの小売会社Metro AGになりすました簡単な偽装メールから始まった。これらのメールには、圧縮されたLNKファイルを含むパスワード保護されたZIPファイルが含まれていた。LNKファイルを実行すると、Rhadamanthys情報窃盗ツールをドロップするPowershellスクリプトがトリガーされた。
しかし、RhadamanthysをドロップするPowershellスクリプトには、コードの各コンポーネントの上に、そのコンポーネントが達成することについての超具体的なコメントがハッシュタグに続いているという奇妙な特徴があった。これはLLM生成コードの特徴であり、グループまたは誰かがそれを書くために何らかのチャットボットを使用したことを示している。
【ニュース解説】
最近、ドイツの様々な業界を対象とした悪意のあるキャンペーンが発見されました。このキャンペーンは、初期アクセスブローカー(IAB)であるTA547によって実施され、特に注目されたのは、人工知能(AI)によって生成されたマルウェアドロッパーの使用です。このドロッパーは、フィッシング攻撃に利用され、そのコードにはAI生成の特徴が見られました。
TA547は過去にもTrickbotやその他のサイバー犯罪ツールを使用してきた組織であり、今回のAIを活用した攻撃は、彼らの進化の一環と見られます。攻撃は、偽装メールを通じて実行され、メールに添付されたファイルからRhadamanthysという情報窃盗ツールがドロップされる仕組みでした。このプロセスの中で、AIによって生成されたコードが使用されていることが特徴的でした。
この事例は、AI技術がサイバーセキュリティの脅威にどのように利用され得るかを示しています。AIによるマルウェア生成は、攻撃者がより迅速に、効果的に攻撃を行う手段を提供する可能性があります。しかし、現段階ではAIによるマルウェアが人間によって書かれたものよりも高度であるとは限らず、防御側は従来の手法でこれらの脅威に対処することが可能です。
AI技術の進化に伴い、サイバー攻撃者が新たな手法を開発する可能性は高まっていますが、同時に、AIを活用した防御技術も進化しています。このため、AIによる攻撃と防御の間には、継続的な競争が存在することになります。AI技術の発展は、サイバーセキュリティの分野においても、新たなチャレンジと機会をもたらしており、今後もその動向に注目が集まることでしょう。
ポジティブな側面としては、AI技術がサイバーセキュリティの自動化と効率化を促進する可能性があります。一方で、潜在的なリスクとしては、AIが悪用されることで新たな脅威が生まれる可能性があります。このため、AI技術の安全な使用と、その悪用を防ぐための規制やガイドラインの整備が重要となります。
将来的には、AI技術のさらなる発展により、サイバーセキュリティの分野でのAIの活用が拡大することが予想されます。これにより、より高度な防御手法の開発や、サイバー攻撃の早期発見・対処が可能になる可能性があります。しかし、そのためには、AI技術の進化に伴うリスクを適切に管理し、技術の倫理的な使用を確保することが不可欠です。
from TA547 Uses an LLM-Generated Dropper to Infect German Orgs.
