AI によって生成された可能性のある PowerShell スクリプトを介して配布される Infostealer マルウェア

AI によって生成された可能性のある PowerShell スクリプトを介して配布される Infostealer マルウェア

2024 年 3 月、セキュリティ研究者は、スカリー スパイダーとしても知られるハッカー グループ TA547 によるものと考えられる、ドイツの複数の組織を標的とした悪意のあるキャンペーンを検出しました。このグループは 2017 年から活動しており、「初期アクセス ブローカー」として分類されており、スペイン、スイス、オーストリア、米国の組織も標的にしています。

攻撃を実行するために、サイバー犯罪者は PowerShell スクリプトを生成するという高度な手法を使用しました。このキャンペーンでは、ZIP 形式の請求書を添付した悪意のあるメールを送信することで、ドイツのブランド Metro になりすまそうとしました。セキュリティ分析を回避するために、この ZIP ファイルはパスワード「MAR26」で保護されていました。開くと、PowerShell 経由でリモート スクリプトの実行がトリガーされました。

この攻撃の最終目標は、情報窃取者である Rhadamanthys として知られるマルウェアを被害者のマシンに感染させることでした。このタイプのマルウェアは、感染した各マシンから認証情報や Cookie などの機密情報を盗むことを目的としています。

AIで生成されたPowerShellスクリプト?

サイバー犯罪者が使用する PowerShell スクリプトを分析したときに、興味深い特徴が観察されました。コードの各行の前には、コードの一部に関するヘルプを要求されたときに人工知能によって生成されるコメントと同様、非常によく書かれたコメントが付いていました。

したがって、セキュリティ研究者は、このスクリプトは ChatGPT、Gemini、Microsoft Copilot などの生成 AI を使用して生成されたと仮説を立てました。この仮説は 100% 確認されたわけではありませんが、サイバー犯罪者が AI を使用してコードを作成または書き換えた可能性は十分にあります。

この特定のケースでは、AI には悪意はなく、このコードがマルウェアの拡散に使用されることを予期できなかったことに注意することが重要です。ただし、この AI の使用により、サイバー犯罪者が技術の進歩を利用してより高度な方法で攻撃を実行できるかどうかについて疑問が生じます。

この調査結果は、サイバーセキュリティ専門家が常に最新の情報を入手し、サイバー犯罪者が使用する新しいテクノロジーや手法に精通する必要性も浮き彫りにしています。コンピューター攻撃との戦いはますます複雑になっており、深い専門知識と継続的な監視が必要です。

出典:
– 原著： プルーフポイント
– ピーピーコンピュータ