AI悪用によるサイバー攻撃の概要
現在、ベトナムの脅威アクターが、AIによって作成されたコードを悪用し、職探し中の人々を標的としたフィッシングキャンペーンを展開しています。このキャンペーンは、PureRATマルウェアおよび関連するペイロードを企業のシステムに拡散させることを目的としています。
この手口は、特に職務に関連する魅力的な誘い文句を用いることで、ターゲットの警戒を解き、マルウェア感染へと誘導します。Trend Microが2025年12月に初めて文書化したこのキャンペーンは、AIが低スキルなサイバー犯罪者でも高度な攻撃チェーンを構築し、自動化することを可能にしている現状を浮き彫りにしています。
巧妙化する攻撃手口:添付ファイルからクラウドホストへ
当初、攻撃者は悪意あるZIPやRAR形式のファイルを、求人情報に見せかけて添付していました。しかし、Symantecが最近観測した活動によると、その手口はさらに巧妙化しています。現在は、添付ファイルの代わりに、被害者をDropboxにホストされたアーカイブのダウンロードへと誘導するフィッシングメールが利用されています。
これは、未知の送信者からの実行可能ファイルが添付されたメールを、より積極的に検査またはブロックするメールセキュリティフィルターを回避するためと考えられます。悪意あるアーカイブのファイル名も、特定のブランドや企業機能を模倣したものが多く、「New_Remote_Marketing_Opportunity_OPPO_Find_X9_Series.zip」や「Global_Ads_Strategy_Role_Summary.zip」などが確認されています。
これらのアーカイブを開くと、多くの場合、悪意あるDLLファイルをサイドロードする実行ファイルが含まれています。その際、Haihaisoft PDF Readerや古いバージョンのMicrosoft Excel、名称変更されたFoxit PDF Readerの変種といった正規のソフトウェアが悪用されています。実行ファイルは「Salary and Benefits Package.EXE」など、人事関連の名称に偽装されていることが特徴です。
AIがサイバー犯罪を加速:低いスキルで高度な攻撃を可能に
関連するDLL(例:oledlg.dll、msimg32.dllなど)は、悪意あるバッチスクリプトのローダーとして機能します。これらのバッチスクリプトには、AIによる支援の明確な痕跡が見られます。例えば、分析されたスクリプトの一つは、ベトナム語でコメントが詳細に書かれており、隠しディレクトリの作成、ファイルのリネーム、暗号化されたコンテンツの抽出、Base64エンコードされたペイロードのフェッチと実行といった複雑な処理を行います。
特に注目すべきは、洗練されたバッチスクリプトの変種には、手順ごとの構造、絵文字のようなマーカー、クリーンなエラー処理など、より明白なAIの指紋が含まれている点です。Pythonローダーも同様に、番号付けされたセクション、詳細なデバッグ出力、そして「Base64エンコードされたHVNCシェルコードをここに貼り付けることを忘れないでください」といった攻撃者への明示的な指示まで含まれています。
標的と動機:ベトナムの脅威アクターによる金銭目的の攻撃
複数の指標がこの攻撃の実行元をベトナムと示唆しています。「huanxkiem」のようなパスワードはハノイのホアンキエム区を連想させ、GitLabのプロフィールやファイル名にも「kimxhwan」というハンドルが埋め込まれています。「Huna」という名称もファイル名やパスワードで一貫して使用されており、攻撃者のエイリアスである可能性が高いです。
このキャンペーンのターゲットと使用ツールは、金銭的動機によるサイバー犯罪を示唆しています。求職者を装った悪意ある求人情報を介して、企業ネットワークへの初期アクセスを狙っているようです。PureRATやHVNCペイロードは、リモート制御を可能にし、攻撃者は認証情報の収集、水平移動を行い、最終的に犯罪市場でアクセス権を売却することで利益を得るものとみられています。
企業が取るべき対策
AIの進化は、より説得力のあるソーシャルエンジニアリングを可能にするだけでなく、比較的スキルの低いアクターでも洗練されたコードを生成し、複雑な感染チェーンを自動化し、ツールを迅速に反復改善することを支援しています。この現状は、AI支援型サイバー犯罪のリスクが急速に高まっていることを強調しています。
組織は、未承諾の求人情報、特に外部ファイルホスティングや実行可能な「ドキュメント」を含むものに対して、高リスクであると認識し、注意を払う必要があります。エンドポイント、メール、およびクラウドのセキュリティ制御を適切に設定し、このような挙動を検出できるように調整することが不可欠です。