概要
Transparent Tribe(APT36)は、従来のツールからAI支援型マルウェアモデルへと移行し、これが「vibeware」と呼ばれる新たな脅威を生み出しています。vibewareは、大量の低品質なマルウェアを生成し、サイバーディフェンダーを疲れさせる戦略を採用しています。
vibewareの特徴
vibewareは、文法的には正しいが論理的に脆弱なコードで構成されています。これらのコードは、C2 URLの欠如や状態論理の破綻など、多くの誤りを含んでいます。
APT36の戦略
APT36は、Nim、Zig、Crystalなどのニッチ言語を使用したマルウェアの生成にAIツールを活用しています。これにより、既存の検出基準を回避し、多くの企業が信頼するHTTPSフローを介してマルウェアを展開することが可能となっています。
攻撃の手口
- 初期侵入:APT36は、フィッシングメールや偽のPDFファイルを使用して初期侵入を試みます。
- コマンドと制御:Google SheetsやSupabase、FirebaseなどのプラットフォームをC2チャネルとして使用します。
- データ漏洩:MailCreepやLuminousStealerなどのコンポーネントを使用して、ファイルやMicrosoft 365データを盗み出します。
セキュリティ対策
セキュリティチームは、ファイル形式やシグネチャではなく、ユーザー書き込み可能なパスでの非信頼バイナリの監視、異常なPowerShell活動、未知のプロセスからのクラウドコラボレーションプラットフォームへの異常なアウトバウンドトラフィックの監視に重点を置くべきです。
結論
vibewareの出現は、サイバーセキュリティの世界に新たな挑戦をもたらしています。AIによって生成された大量の低品質なマルウェアは、サイバーディフェンダーを疲れさせる「検出分散攻撃」を可能にしています。