BlackBastaGPT：流出したハッカーのチャットをAIで分析

3月7〜10日：サイバーセキュリティ関連ニュース

BlackBastaGPT：流出したハッカーのチャットをAIで分析

Dailyinfosec[.]net – March 8, 2025

Hudson Rockが高度なチャットボットBlackBastaGPTを発表した。これはサイバー犯罪グループBlack Bastaの内部チャットログとされる100万件以上のデータでトレーニングされており、このツールを使えば自然言語クエリで同グループの活動や財務戦略、攻撃手法などを分析できるようだ。

これらのログを先月11日にリークしたのはExploitWhispersと呼ばれる人物で、その動機についてはBlack Bastaがロシアの銀行を攻撃したことへの報復だと主張している。このリークで重複のない標的組織へのリンク367件、暗号資産ウォレット、フィッシングテンプレート、メンバー間の率直な議論を含むチャット記録が公開されたほか、同グループ内の対立関係、主要人物、運営構造も判明。そのほかにも以下のような知見が得られたという。

• Citrix、Ivanti、Fortinet各製品の脆弱性を悪用
• 380超のZoomInfoリンクから収集した情報を使い、脆弱なVPN、RDPサーバー、ESXiホストを悪用
• ITサポートサービスに扮し、Cobalt StrikeやSystemBCといったマルウェアを配布するフィッシングキャンペーンを展開
• 新しい回避手法を試行
• ビットコインのロンダリング
• 500件を超えるサイバー攻撃に関与
• 累計被害額は1億ドル以上
• メンバーに17歳のハッカーが含まれる

BlackBastaGPTチャットボットは膨大な量のデータを処理できるため、研究者は複雑なクエリを作成することが可能とのこと。つまり初期アクセスベクターの特定や、身代金の額がどのように計算されたかを分析することもできるとされ、サイバー脅威へのプロアクティブな対応に役立つことが期待されている。

PHPスクリプトに影響与えるバグは「世界的な即時対応が必要」　研究者が指摘（CVE-2024-4577）

The Record – March 8th, 2025

脅威インテリジェンス企業のGreyNoiseは7日、主に日本の組織を狙ったサイバー攻撃で悪用されていた脆弱性が今や世界中で問題化していると述べた。

この脆弱性はWebサーバーでスクリプトを実行するセットアップ「PHP-CGI」に影響を与えるもので、CVE-2024-4577として追跡され、昨年夏にパッチがリリースされている。今年1月に未知の攻撃者がこのバグを悪用し、「主に日本の組織を狙っている」ことを観測したのはサイバーセキュリティ企業Cisco Talosだが、GreyNoiseは同社が6日に公開したブログ記事について言及。CVE-2024-4577の悪用が「最初の報告をはるかに超えて広がっている」と指摘し、「防御する側が世界的に即時対応することが必要な、はるかに広範な悪用パターン」が認められると記した。

GreyNoiseによると、この脆弱性を悪用し、リモートでコードを実行する方法は79通り知られているようだ。7日のレポートには「攻撃の試みは複数の地域で確認されており、2025年1月中は米国、シンガポール、日本、その他の国で顕著な急増が見られた」と記された。PHPは数十年前から存在するスクリプト言語で、Web開発に広く使用されている。

また、Cisco Talosは攻撃者の主な目的として認証情報の窃取を挙げているが、今後はシステム内で持続性を確立することや、SYSTEMレベルへの権限昇格などに発展する可能性があると指摘。さらに「敵対的なツールとフレームワークの完全なスイートを展開するコマンド＆コントロール（C2）サーバー」の存在も確認したという。

CVE-2024-4577はパッチがリリースされた直後の昨年8月、Symantecの研究者から台湾の大学に対する悪用事例が報告されている。