クラウドおよびコンテナセキュリティ企業のAqua Securityによると、サイバー犯罪者は高度なLinuxマルウェア「Koske」の開発においてAIを大幅に活用しているようです。
Koskeは、侵害されたシステムを暗号通貨のマイニングに悪用するよう設計されています。デバイスの性能に応じてCPU最適化およびGPU最適化されたマイナーを展開し、ホストのリソースを利用してMonero、Ravecoin、Nexa、Tari、Zano、その他十数種類の暗号通貨をマイニングします。
Aquaが観測した攻撃では、このマルウェアはJupyterLabウェブベース開発環境の設定ミスがあるインスタンスに配布されていました。
侵害されたシステムでは、攻撃者はバックドアをインストールし、一見無害に見える2つのJPEG画像ファイルをダウンロードします。
これらのファイルは実際にはポリグロットであり、開くとパンダの画像が表示されますが、同時に悪意のあるシェルコードが埋め込まれており、追加のペイロード(ルートキットを含む)を取得します。
Aquaの研究者は、Koskeの開発がAIによって大きく支援されていると考えています。マルウェアの開発者は、LLM(大規模言語モデル)を利用してモジュール化され回避性の高いペイロードを作成し、痕跡をほとんど残さないさまざまな永続化メカニズムを設計し、マルウェアが自動的に異なるシステム状況に適応できるようにしていると見られます。
適応性の観点では、例えばこのマルウェアはペイロードを取得するGitHubアカウントへのアクセス権があるかを確認するために3つの異なる方法を使用します。接続できない場合は、プロキシ設定をリセットし、OS上のiptablesファイアウォールルールを削除し、DNS設定を変更します。さらに、C&C通信のために動作するプロキシを動的に発見することも可能です。
Aquaは、「詳細で構造化されたコメントとモジュール性」や「ベストプラクティスに基づくロジックフローと防御的なスクリプト習慣」など複数の手がかりから、Koskeのコード作成にAIが使われている可能性が高いと判断しています。
広告。スクロールして続きをお読みください。
もう一つ注目すべき点は、AIによって書かれたコードは一般的な見た目になりやすく、帰属や分析をより困難にすることです。
「AIを使ってより良いコードを生成すること自体が防御側にとって課題となっていますが、これはまだ始まりに過ぎません。本当のゲームチェンジャーはAI駆動型マルウェアです。これはAIモデルと動的にやり取りし、リアルタイムで挙動を適応させる悪意あるソフトウェアです。このような能力は、攻撃者の戦術に飛躍的な進化をもたらし、無数のシステムを深刻なリスクにさらす可能性があります」とAqua Securityは警告しています。
翻訳元: https://www.securityweek.com/sophisticated-koske-linux-malware-developed-with-ai-aid/