サイバー犯罪者がAIを使用してゼロデイ脆弱性を特定し悪用することに初めて成功したと、Google脅威インテリジェンスグループ(GTIG)が警告しました。
5月11日に公開されたGTIG AI脅威トラッカーレポートによると、「著名な」サイバー犯罪脅威アクターが大規模な脆弱性悪用作戦を計画するために提携したとのことです。
AIモデルは、ゼロデイ脆弱性を特定し、一般的なオープンソースのウェブベースのシステム管理ツール上の二要素認証(2FA)保護をバイパスして悪用するために武器化するために使用された可能性があります。
GTIGはシステム管理ツールベンダーと協力して、新しいゼロデイが悪用される前に脆弱性を修正し、キャンペーンを中断しました。
Googleは、脅威アクターがAIを使用してゼロデイ脆弱性の発見と武器化をサポートすることに成功した証拠を見たのは初めてだと述べました。
レポートによると、攻撃者はGoogle GeminiAIモデルもAnthropic Mythosも使用していなかったとのことです。
Pythonで実装されたコードの分析は、AIによって生成されたことを示す特徴を示唆しました。これには、大規模言語モデル(LLM)によって使用される訓練データの特徴である、教育的なドックストリングとPythonicフォーマットの高度に構造化された使用が含まれていました。
スクリプトには、人間ではなくAIによって開発されたことを示すもう1つの指標である、幻覚CVSS スコアも含まれていました。
このキャンペーンが展開される前に中断されましたが、このAI開発されたゼロデイの発見は、AI脅威のランドスケープがどのように急速に進化しているかを示しています。
「AIによる脆弱性競争が差し迫っているという誤解があります。現実は、それはすでに始まっているということです。AIにまで遡ることができるゼロデイごとに、おそらく他にも多くのものがあります」とGTIGの主任アナリストジョン・ハルトキストは述べました。
ハッカーの有効化者としてのAI
GITGレポートは、最近キャンペーンの一部としてAIを採用した脅威アクターのいくつかの例を詳しく説明しました。
これには国家支援のハッキングおよびスパイ活動グループが含まれていました。Googleは、中華人民共和国(PRC)と朝鮮民主主義人民共和国(DPRK)が脆弱性発見のためのAIを活かすことに「重大な関心」を示していると述べました。
サイバー犯罪グループもハッキングキャンペーンの一部としてAIの展開を継続しており、脅威アクターはマルウェアの開発を支援するためにAIモデルを使用しています。GTIGはまた、AIがアンチウイルスソフトウェアおよびサイバーセキュリティ保護によって検出がより困難な運用サポートツールに使用されていることに注目しました。
攻撃者がゼロデイの開発やマルウェアの難読化を含むより洗練されたアクティビティにAIを使用している一方で、脅威アクターによるAIの最も一般的な使用は、通常のユーザーと同様に、研究とトラブルシューティングを実施するためにLLMを使用することです。
インテリジェンス収集とタスクサポートを自動化することで、サイバー犯罪者は複雑な多段階の操作とより効果的なキャンペーンを管理するための追加の時間とリソースを自分自身に許可しています。
「脅威アクターはAIを使用して、攻撃のスピード、規模、および洗練度を高めています。これにより、操作をテストし、ターゲットに対して持続し、より良いマルウェアを構築し、他の多くの改善を行うことができます」とハルトキストは述べました。
「国家アクターはこの技術を活用していますが、特に幅広い攻撃的な攻撃の歴史を考えると、犯罪的な脅威は過小評価されるべきではありません」と彼は付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/hackers-using-ai-zero-day-first/
