はじめに
サイバーセキュリティ研究者たちは、人工知能を悪用して難読化技術を強化し、従来のアンチウイルス検出システムを回避する高度なマルウェアキャンペーンを特定しました。この脅威アクターは、著名な韓国の配送サービスを装ったトロイの木馬化されたアプリケーションを配布しており、セキュリティ制御を回避し、持続的なコマンド&コントロール(C2)インフラを維持するために、多層的なアプローチを採用しています。
AIによる高度な難読化技術
今回のマルウェアキャンペーンは、AI技術をProGuard難読化およびパッキングソリューションに統合することで、その洗練度を大幅に高めています。セキュリティアナリストは、変数名、クラス識別子、関数名が、意味のない8文字の韓国語文字列を使用して意図的に難読化されていることを発見しました。これにより、リバースエンジニアリングが著しく困難になっています。
このAI駆動型のアプローチは、従来の静的な難読化パターンからの脱却を示しています。従来のパターンは、セキュリティツールによって検出可能な予測可能な特徴に従う傾向がありました。この難読化手法は、リソース名の扱いに意図的な洗練度を示しています。クラス名と関数名が大幅に難読化されている一方で、リソース識別子は変更されていません。これは、検出回避とアプリケーション機能のトレードオフを脅威アクターが理解していることを示唆する戦術的な決定です。この選択的な難読化戦略は、マルウェア機能を維持しながら運用上のセキュリティのバランスを取ることができる成熟した脅威アクターの存在を示しています。
正規サービスを装う手口
このマルウェアは、ユーザーの信頼と権限を獲得するために、二重のソーシャルエンジニアリングアプローチを採用しています。ユーザーがトロイの木馬化されたアプリケーションをインストールすると、正規の配送追跡サービスに似たインターフェースが表示されます。権限を受け取ると、アプリはランダムに生成された追跡番号を使用して実際の配送追跡ウェブサイトに接続し、バックグラウンドで悪意のあるコードを実行しながら、正規の機能の錯覚を作り出します。このアプローチは、悪意のあるペイロードの展開と本格的なサービス統合を組み合わせることで、ユーザーが重要な権限付与フェーズ中に信頼を維持するため、感染成功率を大幅に高めます。
巧妙なC2インフラストラクチャ
このキャンペーンは、持続的なコマンド&コントロール機能を維持するために、独創的なインフラストラクチャアプローチを利用しています。従来のC2ドメインに依存するのではなく、脅威アクターは韓国のポータルサイトにホストされているブログ投稿にサーバーアドレスをハードコードしています。悪意のあるアプリケーションが実行されると、ブログコンテンツからC2アドレスを動的に取得し、合法的なプラットフォームをコマンドチャネルのリポジトリに効果的に変えます。さらに、脅威アクターは合法的なウェブサイトを侵害し、管理者の認識なしにC2サーバーとして再利用しています。このアプローチには、複数の利点があります。攻撃者はテイクダウン対策に対する回復力を獲得し、合法的なHTTPS証明書を悪用して暗号化された通信を行い、悪意のある活動に関するもっともらしい否認可能性を維持します。サイト管理者は、外部プログラムがデータ漏洩のためにインフラを乗っ取ったことに気づきません。
検出の課題と対策
このキャンペーンは、AI強化された回避技術が巧妙なインフラ戦略と収束する、進化する脅威ランドスケープを浮き彫りにしています。難読化パターンに一貫性がなかったり、予測可能な規則に従わないAI生成の命名スキームに依存したりする場合、従来の署名ベースの検出は効果が低下します。合法的なサービスと侵害されたインフラの統合は、トラフィックが信頼できる情報源から発生しているように見えるため、検出をさらに複雑にします。
セキュリティ専門家は、疑わしい権限使用パターン、異常な韓国ポータルサイトへのネットワークトラフィックの異常、および不正なデータ漏洩の試みを特定できる挙動ベースの検出メカニズムを実装する必要があります。組織はまた、不正なC2使用を特定し、そのような侵害を防ぐために追加のアクセス制御を実装するために、ウェブインフラの定期的なセキュリティ監査を実施する必要があります。AI駆動型難読化技術の出現は、脅威アクターが悪意のあるソフトウェアの有効性を維持するために高度な技術をますます採用していることを示しており、セキュリティチームはそれに応じて検出方法を進化させる必要があります。