サイバーニュース.jp

世界のサイバーなニュースを配信

AIベースのマルウェアが攻撃をより巧妙かつ適応的にする

カテゴリ:

AIマルウェアの台頭:サイバー攻撃の新たな局面

Googleが水曜日に発表したところによると、サイバー脅威アクターは最近、マルウェア開発にAIを導入し始めており、これはハッキングエコシステムにおけるテクノロジーの役割の劇的な進化を示しています。Googleの脅威インテリジェンス研究者らは報告書の中で、新しい種類のマルウェアが攻撃フェーズ中にAIを使用してリアルタイムで成長・変化し、検出と防御をはるかに困難にする可能性があると述べています。この最近の傾向は、攻撃者と防御者の間のAI軍拡競争における最新の段階を表しています。

Googleが発見した新たなAI搭載マルウェアファミリー

これまでの数年間、研究者たちは、ハッカーがAIをマルウェア生成アシスタントとしてよりも、フィッシング詐欺の誘引を強化するために使用していることを一貫して発見していました。専門家は、ダークウェブにはAIマルウェアツールキットが存在するものの、それらが最も広範または懸念されるテクノロジーの使用法ではないと述べていました。しかし、Googleの新たな発見は、攻撃におけるAIの役割が新たな段階に入っていることを示唆しています。

Googleが報告したところによると、新たに発見された5つのマルウェアファミリー — FRUITSHELL、PROMPTFLUX、PROMPTSTEAL、PROMPTLOCK、QUIETVAULT — は、以下のような斬新なAI搭載機能を備えています。

  • セキュリティソフトウェアからコードを隠蔽する能力
  • オンデマンドで攻撃能力を作成する能力
  • スクリプトを動的に生成する能力

Googleは、「まだ初期段階ではあるものの、これはより自律的で適応性の高いマルウェアに向けた重要な一歩である」と述べています。

PROMPTFLUX:Gemini AIによる自己再生成

PROMPTFLUXは、GoogleのGemini AIを使用して自身のコードを再生成し、検出をより効果的に回避します。再構成されたファイルはWindowsのスタートアップフォルダに隠されます。あるバージョンのマルウェアは、Geminiを使用して1時間ごとにソースコード全体を書き換えていました。Googleは、「この種の難読化技術は、悪意のあるオペレーターが今後AIをどのようにキャンペーンに活用していくかを示す、初期かつ重要な指標である」と述べています。

GoogleはPROMPTFLUXを特定の脅威アクターに帰属させていませんが、マルウェアをドロップするために使用されたファイル名が「金銭的動機を持つアクター」の行動と一致していると述べています。現在、PROMPTFLUXのコードには非アクティブなコンポーネントとGemini APIとの相互作用を制限する機能が含まれており、開発中であることを示唆しています。Googleは「この活動に関連するアセットを無効にする措置を講じた」と述べ、PROMPTFLUX単独ではシステムをハッキングできないと付け加えています。

PROMPTSTEAL:LLMを活用した情報窃取とAPT28の関与

一方、PROMPTSTEALは、Hugging Faceのプラットフォームを使用して大規模言語モデル(LLM)にクエリを送信し、ターゲットシステムから情報を収集・窃取する短いWindowsコマンドを生成します。このソフトウェアは、画像生成ツールを装い、バックグラウンドで偵察コマンドを生成・実行します。コマンドを実行するための新しいスクリプトを動的に生成することで、マルウェアは特定のコードスニペットを探している防御者に警告を発することなく、ターゲットマシン上でハッカーが活動を続けるのを助けることができます。

Googleは、ロシアのGRU軍事情報機関に関連するグループであるAPT28が、ウクライナでPROMPTSTEALを使用しているのを観測したと述べています。同国の当局は以前、このマルウェアの出現を報告していました。Googleは、これらの攻撃が、マルウェアがLLMにクエリを送信するのを初めて目撃した事例であると述べています。

進化する脅威と防御側の対応

Googleは、「斬新なAI技術の最近の実装の一部は実験的ではあるものの、脅威がどのように進化し、将来の侵入活動にAI機能をどのように統合する可能性があるかを示す初期の指標となる」と述べています。マルウェアにおけるAIの新たな使用法は、防御側が従来の静的検出ツールを、より広範な異常な活動を特定できるソフトウェアに置き換える必要性を浮き彫りにしています。

Googleの研究者らは、「攻撃者は『雰囲気コーディング』や、2024年に観測されたAIツールを技術サポートに利用するという基準を超えつつある。我々はまだこの種の活動を目にし始めたばかりだが、将来的には増加すると予想している」と記しています。

脅威アクターによるその他のAI利用事例

脅威アクターは、AIを他の目的にも利用し続けています。Googleの報告書は、中国関連のグループがGeminiを使用して「誘引コンテンツの作成、技術インフラの構築、データ流出のためのツールの開発」を行っていると説明しています。Geminiの悪用防止策を回避するため、脅威アクターはキャプチャー・ザ・フラッグ(CTF)演習の参加者を装い、Geminiに「(ターゲットシステムを)悪用するために誤用される可能性のある有用な情報」を提供するよう説得しました。この中国関連のアクターは、その後、多くの将来のGeminiプロンプトでこのCTFの口実を使用しました。

他の国家支援型グループはそれほど幸運ではありませんでした。イラン関連のハッキンググループは、Geminiを使用してカスタムマルウェアを開発しようとしましたが、その過程で、コマンド&コントロールサーバーのドメインを含む運用に関する情報を明らかにしてしまい、Googleがその活動を妨害するのに役立ちました。

元記事: https://www.cybersecuritydive.com/news/ai-powered-malware-google/804760/

投稿をさらに読み込む