TokyoBlackHatNews

gbhackers.com 4分で読了

GREYVIBE:脅威アクターがChatGPTとGoogle Geminiを活用してサイバー攻撃作戦を拡大

脅威アクターは、ChatGPTやGoogle Geminiなどの生成AIツールをサイバー攻撃作戦の加速に活用するケースが増えており、技術的な参入障壁を下げ、現代の脅威情勢を塗り替えつつある。

WithSecureの最新レポートが明らかにしたのは、GREYVIBEとして追跡されるロシア関連の脅威グループが、2025年8月以降、ウクライナおよび関連組織を標的としたキャンペーンに大規模言語モデル(LLM)を組織的に統合しているという実態だ。

サイバー攻撃作戦

GREYVIBEは、スピアフィッシング、偽CAPTCHAページ、悪意のあるWebサイトを組み合わせた多様なマルチベクター攻撃を展開し、マルウェアを配布している。

PhantomMailと呼ばれる同グループのフィッシングキャンペーンは、Google Driveなどのサービスでホストされた悪意のあるアーカイブファイルを利用し、正規の文書に偽装したローダーを被害者に実行させる手口を取った。

別のキャンペーンPhantomClickでは、Zoomなどのプラットフォームになりすました偽CAPTCHAページを使用し、ソーシャルエンジニアリングによってユーザーに悪意のあるコマンドを実行させた。

Image

一方、PrincessClub作戦では、ウクライナ軍関係者を含む被害者をおびき寄せるため、偽のアダルト系Webサイトを展開し、スパイウェアやリモートアクセスツールをダウンロードさせた。

レポートによると、GREYVIBEはChatGPT、Google Gemini、Ideogram AIなどのAIツールを攻撃ライフサイクル全体にわたって幅広く活用している。これらの技術は、フィッシング用の誘導コンテンツの生成、悪意のあるWebサイトの設計、難読化スクリプトの開発、さらにはマルウェア作成の支援にも利用されている。

このAIの運用活用により、同グループは攻撃インフラを迅速に構築・改変でき、防御側が検知しやすい従来の再利用可能なマルウェアパターンへの依存を低減している。

注目すべき例として、LegionRelayがある。これはAIの支援を一部受けて開発されたとされる、カスタムPowerShellベースのリモートアクセス型トロイの木馬(RAT)だ。

比較的シンプルな設計ながらも、このマルウェアにより攻撃者はコマンドの実行、ファイルの窃取、スクリーンショットの取得、TelegramやWhatsAppなどのアプリケーションからの機密データの収集が可能となる。しかし研究者はLegionRelayの設計上の欠陥を発見し、バックエンドインフラの一部が露出していたことから、GREYVIBEの作戦実態をより深く把握することができた。

LegionRelayに加え、同グループはPhantomRelayも展開している。これはWebSocket通信とモジュール式スクリプトを使用して侵害後の機能を拡張する別のRATだ。

モバイルプラットフォームでは、GREYVIBEはFallSpyというAndroidスパイウェアを使用しており、連絡先、通話履歴、位置情報、デバイス情報を収集できる。これらのツールは、検知と解析を回避するためのDAYLIGHTやTEASOUPといったカスタム難読化ツールによって支援されている。

AIはGREYVIBEが作戦を効率的にスケールするうえで重要な役割を果たしている。コーディング作業の自動化、説得力のあるソーシャルエンジニアリングコンテンツの生成、インフラ構築の支援を通じて、AIは複雑なサイバー作戦に必要なスキルの敷居を下げている。

Image

また、AIが生成したコードや成果物はキャンペーン間で大きく異なる可能性があるため、コードの再利用や行動パターンに基づく従来の検知手法が弱体化し、帰属分析も一層困難になる。

ロシアの国家利益、特にウクライナ紛争における情報収集活動と一致した動向を示しながらも、GREYVIBEは国家支援型とサイバー犯罪組織型の両方の特徴を持つ。

証拠によると、同グループはモスクワ時間帯で活動し、ロシア語のインフラを使用しており、TrickBot関連クラスターなどの既知のサイバー犯罪エコシステムとのつながりが示唆されている。このハイブリッドな性質は、国家による作戦と組織的サイバー犯罪の境界線を曖昧にしている。

GREYVIBEのようなAI支援型脅威グループの台頭は、サイバー戦争における転換点を示しており、自動化と生成技術が速度と適応力の両方を向上させている。

防御側にとって、この進化は新たな課題をもたらす。攻撃者が戦術を迅速に改変し、検知メカニズムを回避できるためだ。組織はメールフィルタリングの強化、異常なコマンド実行の監視、そしてますますAI主導化する脅威に対抗するための振る舞い検知システムの採用が推奨される。

翻訳元: https://gbhackers.com/threat-actors-use-chatgpt-and-google-gemini-to-scale-cyberattack-operations/

ソース: gbhackers.com
#ChatGPT #GreyVibe #LLM(大規模言語モデル) #RAT(リモートアクセス型トロイの木馬) #ウクライナ #サイバー攻撃 #スピアフィッシング #マルウェア #ロシア系脅威アクター #生成AI

関連記事

ランサムウェアがSYSTEMタスクを悪用し、昇格した権限でドライブを暗号化

JINX-0164、LinkedInを誘い文句にカスタムmacOSマルウェアを展開

Sicoob SDKに偽装した悪意のあるNuGetパッケージが銀行パスワードを窃取