新たに観測された侵入事例は、攻撃者が静的なプレイブックをリアルタイムで適応するAI駆動エージェントに置き換えている実態を示している。
攻撃は2026年5月10日に始まり、脅威アクターがmarimoノートブック環境のリモートコード実行の脆弱性であるCVE-2026-39987を悪用した。
侵入後、攻撃者は環境ファイルおよびシステムパスからクラウド認証情報を収集した。従来のスクリプト型攻撃とは異なり、侵害後の活動はLLMエージェントによって動的に生成され、出力を分析しながら次のステップをリアルタイムで決定した。
数分以内に、窃取された認証情報はAWS APIに対してリプレイされた。攻撃者はAWS Secrets ManagerからSSH秘密鍵を取得し、それを使用して下流のSSHバスティオンホストへの認証を行った。このピボットにより内部インフラへのアクセスが可能となり、最終的にPostgreSQLデータベースの急速な外部流出へと至った。
特筆すべきは、データベースのスキーマと全内容が2分未満でダンプされたことであり、速度と精度の両面が示された。
主要な回避技術として、Cloudflare Workersを分散型エグレスレイヤーとして使用した手法が挙げられる。単一ソースからAPIリクエストを発行する代わりに、攻撃者は22秒以内に12件のAWS APIコールを11の異なるIPアドレスに分散させた。
Sysdig脅威調査チーム(TRT)の報告によると、大規模言語モデル(LLM)エージェントが初期アクセスからデータベース外部流出まで完全な攻撃チェーンを1時間以内に実行し、これは実環境でのエージェント主導型ポストエクスプロイテーションの最初の確認事例の一つとなっている。
このアプローチは従来のソースIP相関を破壊し、レート制限やIPベースの異常検知に依存する防御者にとって検出を著しく困難にする。
同様のパターンはSSH活動でも観測され、異なるIPから同一の窃取鍵を使用して複数の短命セッションが並行して実行された。この分散実行モデルは、協調した悪意ある活動を隠蔽しながら無害なクラウド動作を模倣する。
ハッカーによるmarimo RCEからのピボット
Sysdigの研究者は、この攻撃が事前に書かれたスクリプトではなくAIエージェントによって指揮されていたことを示す4つの明確な指標を特定した。
| 時刻 | イベント |
|---|---|
| 2026-05-10, 18:23:44 | 157.66.54.26から脆弱なmarimoインスタンスの/terminal/wsへの最初のWebSocket接続 |
| 2026-05-10, 18:23:45 | 侵害されたホストでの最初のインタラクティブコマンド(id) |
| 2026-05-10, 18:24:14 | 攻撃者が/app/.env*、/etc/environment、/proc//environ、~/.aws/credentialsに対して認証情報の収集を開始 |
| 2026-05-10, 19:26:31 | marimoセッション終了から48分後、最初に収集されたアクセスキーを使用した最初のAWS APIコール(sts:GetCallerIdentity) |
| 2026-05-10, 19:26:52 | SSHキーシークレットに対する最初のsecretsmanager:GetSecretValueコール |
| 2026-05-10, 19:30:30 | 取得した鍵を使用したSSHバスティオンサーバへの最初のSSH認証 |
| 2026-05-10, 19:30:30 〜 19:32:23 | 6つの異なるCloudflare Workers IPから8つのバスティオンSSHセッションが並行して実行され、ホスト構成および内部PostgreSQLデータベースをダンプ |
第一に、データベースのターゲティングは即興で行われた。攻撃者は事前に存在が確認されていなかった「credential」テーブルを含め、アプリケーションスキーマに関する一般的な仮定に基づいてテーブルを照会・ダンプした。これは事前にプログラムされた知識ではなく推論を示唆している。
第二に、計画に関するコメントがコマンドストリームに一瞬現れた。中国語で書かれており、「他に何ができるか見てみよう」と翻訳される。この内部モノローグは、複数のIPにわたる同時実行と組み合わさり、人間の操作ではなく自動化されたオーケストレーションを示している。
第三に、コマンドはマシンによる処理を想定した構造になっていた。出力デリミタ、切り捨てられた結果、抑制されたエラーは、別のシステム(おそらくLLM)が結果を解析し、後続のアクションに入力していたことを示している。
最後に、攻撃チェーンは自身の出力を再利用した。例えば、.pgpassファイルから抽出された認証情報はデータベースクエリに直ちに使用され、AWSシークレット識別子は以前のAPIレスポンスから動的に選択された。
侵入は急速に展開した。初期アクセスはmarimoターミナルへのWebSocket接続を通じて発生し、数秒後に認証情報の収集が続いた。
短い間隔(おそらくデータをエージェントシステムに転送するために使用)の後、AWS APIコールが開始された。数分以内に、攻撃者はシークレットを取得し、バスティオンホストにアクセスし、データベースの外部流出を完了させた。
このインシデントは攻撃者の経済性と能力のシフトを示している。カスタマイズされたスクリプトの構築に時間を投資する代わりに、敵対者は各ターゲット環境にリアルタイムで適応するAIエージェントを展開できるようになった。これにより複雑な攻撃のコストが低下し、成功率が向上する。
既知のコマンドシーケンスや侵害の痕跡に基づく従来の検知手法は、エージェント駆動型攻撃が各侵入に対して固有の動作を生成するため、有効性が低下する可能性がある。
防御者は、認証情報アクセスの監視、異常なデータフロー、権限昇格パターンなど、意図ベースの検知により重点を置く必要がある。
SysdigのMichael Clarkが指摘したように、攻撃者はAIに置き換えられているのではなく、ツールをアップグレードしている。その結果、既存のセキュリティモデルに挑戦する、より高速で柔軟かつ検知困難な侵入が生まれている。
翻訳元: https://gbhackers.com/hackers-pivot-from-marimo-rce/
