AI生成と思しきマルウェアが実際の攻撃で使われる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > AI生成と思しきマルウェアが実際の攻撃で使われる

Threat Report

AI

AsyncRAT

CISA

AI生成と思しきマルウェアが実際の攻撃で使われる

佐々山 Tacos

佐々山 Tacos

2024.09.25

9月25日:サイバーセキュリティ関連ニュース

AI生成と思しきマルウェアが実際の攻撃で使われる

SecurityWeek – September 24, 2024

今年6月に観測されたフィッシングメールキャンペーンで、AIによって作成されたものと思われるドロッパーマルウェアが使用されていたと、HPが報告。このドロッパーには、インフォスティーラー「AsyncRAT」を投下する性能が備わっていたという。

HPが発見したフィッシングメールはよくある請求書関連のルアーを利用しており、添付されているHTMLファイルを用いたHTMLスマグリングによりZIPアーカイブを配布する。これにはVBScriptが含まれており、このスクリプトがWindowsレジストリにさまざまな変数を書き込み、ユーザーディレクトリにJavaScriptファイルを投下する。JavaScriptが実行されるとPowerShellスクリプトが作成され、最終的にAsyncRATペイロードの実行に繋がるという。

上記の流れはかなりスタンダードではあるものの、VBScriptには「普通でない」点があったとHPの研究者は指摘。スクリプトの構造が整いすぎている点やスクリプト内に各コードの役割などに関するコメントが残存している点、また難読化が施されていない点、またフランス語という通常マルウェア作成者には選ばれにくい言語が使われている点が一般的なマルウェアとは異なっていたという。こうした手がかりから、研究者らはこのドロッパーマルウェアが人間によって書かれたのではなく、生成AIによって書かれたのだろうと推定。HP自身が保有する生成AIを使ってスクリプトを作成させてこの仮説を検証した。すると、非常によく似た構造とコメントを有するスクリプトが出来上がったという。これだけでは絶対的な証拠とは言えないものの、研究者らはこのドロッパーがAI生成のスクリプトであることに確信を抱いている。

研究者らはまた、マルウェアが難読化されていなかったことやAsyncRATという誰もが無料で利用可能なスティーラーが採用されている点、プログラミングの専門知識を必要としないHTMLスマグリングという手法が使われている点などを踏まえて、このフィッシングがグレードの低い攻撃であると結論づけている。さらにこの結論は、攻撃者がスキルの低い新参者である可能性をさらに強化するものでもあるとのこと。

Ivanti vTMの重大な認証バイパス脆弱性、攻撃で悪用される:CVE-2024-7593

BleepingComputer – September 24, 2024

Ivanti Virtual Traffic Manager(vTM)における認証バイパスの脆弱性CVE-2024-7593が攻撃で悪用されているとして、米CISAが注意喚起。10月15日までにこの脆弱性に対処するよう連邦政府機関に命じた。

CVE-2024-7593は、認証アルゴリズムの不適切な実装に起因する問題で、認証されていない遠隔の攻撃者がこの悪用に成功すると、インターネットに接続されたvTM管理者パネル上で認証を回避することや、不正な管理者ユーザーを作成することが可能になるとされる。

今年8月13日にはすでにPoCエクスプロイトコードが出回っており、その後ShadowserverがこのPoCに基づく悪用の試みを1件観測した旨を報告していたが、今回CISAがこの脆弱性をKEVカタログ(悪用が確認済みの脆弱性カタログ)に追加したことで、実際の攻撃で悪用されていることが明確となった。

KEVカタログは主に米国の連邦政府機関を対象としてはいるものの、世界中の民間組織にも同様に、カタログに追加された脆弱性へ優先的に対処することが推奨されている。

関連記事:Ivanti製vTMにおけるバグの悪用試行が観測される 専門家が注意喚起(CVE-2024-7593)

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ