LAMEHUGとは?:AIが操る新たな脅威
LAMEHUGは、大規模言語モデル(LLM)を悪用して動的な偵察とデータ窃取を行う、AI駆動型の新型マルウェアです。従来のマルウェアが静的なスクリプトや事前に書かれたペイロードに依存するのに対し、LAMEHUGはHugging Face APIを介してQwen 2.5-Coder-32B-Instructモデルに動的にクエリを送信し、現在の環境に合わせたWindowsコマンドシェル命令を生成します。この能力により、リアルタイムでの偵察、標的型データ収集、および適応的な回避が可能となり、セキュリティ運用センター(SOC)やブルーチームにとって検出と対応が困難になっています。
昨年7月、CERT-UAはこの高度なマルウェアファミリー「LAMEHUG」の出現を公表し、LLMをマルウェアのワークフローに組み込むという攻撃者の手口における劇的な変化を示しました。
巧妙な感染経路と初期動作
CERT-UAの報告によると、LAMEHUGはAI画像生成ツールを装った悪意のある実行ファイルを含むスピアフィッシングメールを通じて配信されます。一般的なファイル名には「AI_generator_uncensored_Canvas_PRO_v0.9.exe」や「AI_image_generator_v0.95.exe」などがあります。実行されると、これらのローダーはユーザーが画像リクエストを入力するための無害なプロンプトインターフェースを表示しますが、同時に隠れたスレッドを生成し、マルウェアの主要な悪意ある活動を調整するLLM_QUERY_EX()関数を呼び出します。
ある亜種では、デコイのPDFファイルをデコードしてドロップし、ユーザーをさらに欺きます。LLMスレッドの起動後、xlsx_open()関数はダミーPDFを表す大きなBase64文字列をデコードし、C:\ProgramDataに書き込み、cmd.exeを介して実行します。ドロップされるPDFは、信頼性を高めるために政府または企業の文書を装うことが多いです。
LLMを活用した偵察とデータ収集
LAMEHUGの革新の核心は、そのLLM_QUERY_EX()ルーチンにあります。このモジュールは、「システムハードウェアの詳細を列挙せよ」といったプロンプトを構築し、それをrouter.huggingface.coにあるQwen 2.5-Coder-32B-Instructモデルに送信します。モデルは、systeminfo、wmic cpu、wmic diskdrive、dsqueryなどのWindowsコマンドシーケンスを返します。マルウェアはこれを昇格された権限で即座に実行し、システムおよびネットワークデータを収集します。
Splunk Threat Research Team(STRT)のアナリストは、モデルの応答を傍受することで、以下の目的で使用される正確な指示を再構築しました。
- システム情報検出(T1082): systeminfoおよびwmicを介してOS、ハードウェア、環境の詳細を収集。
- 自動ファイル収集(T1119): xcopy.exeを使用して、ユーザーディレクトリからC:\ProgramData\infoへ機密文書(例:.docx、.pdf)を再帰的にコピー。
この適応的なアプローチにより、LAMEHUGはターゲットホストからのリアルタイムのフィードバックに基づいて偵察および収集ロジックを調整し、どのコマンドが成功するかを効果的に学習し、それに応じて後続のプロンプトを調整します。
データ窃取の手口
データがローカルに統合されると、LAMEHUGはSSHまたはHTTPチャネルを介してデータを外部に持ち出します。ある亜種は、埋め込まれた認証情報を使用してC2サーバーへのSSHセッションを確立し、info.txtおよび収集されたファイルを転送します。別の亜種は、LLMプロンプトメッセージと収集されたデータをBase64エンコードし、HTTPSを介してstayathomeclasses[.]com/slpw/up[.]phpのPHPエンドポイントに投稿します。
LAMEHUGの検出戦略
LAMEHUGは標準的なWindowsユーティリティに依存しているため、その動作は正当な管理活動と混同される可能性があります。しかし、いくつかの分析ルールは異常を特定するのに役立ちます。
- WMI偵察検出: CPU、diskdrive、memorychip、nic、computersystemのWMICコマンドを監視することで、T1082活動と一致する疑わしい列挙を明らかにできます。
- ネットサービス列挙: サービスをリストするためのnet startの使用を検出することは、攻撃者がセキュリティ関連プロセスに関心を持っていることを示唆する可能性があります。
- コピーユーティリティによるファイル収集: ユーザー文書拡張子をターゲットとする再帰的なxcopy.exeコマンドに対するアラートは、自動化されたデータ収集を捕捉できます。
- AIプラットフォームDNSクエリ: 一般的なホストプロセス(python.exe、powershell.exe)からrouter.huggingface.coへのDNSリクエストを監視することで、不正なLLMインタラクションが表面化する可能性があります。
脅威の進化と今後の対策
LAMEHUGのマルウェアとLLMの融合は、パラダイムシフトを表しています。これは、リアルタイムで学習し適応し、侵害されたシステムを調査および悪用するために動的にコマンドを作成する攻撃です。防御側は、正当に見えるユーティリティの使用に対するテレメトリを強化し、異常なAIサービスネットワーク活動を監視し、これらの新たな脅威に対抗するために行動ベースの検出を採用する必要があります。LAMEHUGの戦術に合わせた警戒的な異常検出とネットワークおよびエンドポイント監視を組み合わせることで、SOCチームは重大な損害が発生する前にその偵察およびデータ窃取活動を阻止できます。
IOC (侵害指標)
- SHA256 Hashes:
- 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715 (LAMEHUG)
- 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777 (LAMEHUG)
- bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3 (LAMEHUG)
- d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e (LAMEHUG)