TokyoBlackHatNews

gbhackers.com 4分で読了

AIツールを駆使してActive Directory侵害を効率化する脅威キャンペーンを確認

攻撃者がAI搭載ツールを活用してActive Directory(AD)の侵害を効率化し、エンドポイント検出・対応(EDR)の回避テストを加速させた脅威キャンペーンが確認されました。

2026年6月2日に観測されたこの活動は、C:\Users\User\Documents\testというパスに由来する不審なファイルを起点として始まりました。

Sophosの調査により、検出回避と標的環境内での永続性維持を目的とした、体系的なポストエクスプロイトフレームワークを構成する悪意あるコンポーネント群が明らかになりました。

このツールキットには、正規のWebトラフィックを模倣するようカスタマイズされたCobalt Strikeプロファイルが含まれており、ビーコン通信を通常のネットワーク活動に紛れ込ませることができます。

さらに攻撃者は、Telegram Bot APIをベースとしたコマンド&コントロール(C2)チャネルを使用し、直接接続ではなくTelegramのインフラを経由して通信を行いました。

Image

また、Cloudflare Workerをフロントエンドのリダイレクターとして展開し、実際のバックエンドC2サーバーを効果的に隠蔽していました。Pythonベースのマルウェア開発スクリプトも確認され、正規のWindows実行ファイルにシェルコードを注入しながら、元の機能を損なわない設計になっていました。

さらなる分析により、フレームワーク内でAI生成コードが部分的に使用されていたことが判明しました。ロシア語で記述されたものも含む複数のPythonスクリプトは、AIを活用した開発の痕跡を示していました。研究者たちはこれらを、自動AD探索パネルとマルウェアテストラボという2つの主要コンポーネントを含むGitリポジトリと関連付けました。

AD探索メカニズムは完全自律型システムとして動作するのではなく、体系的なワークフローに従って機能していました。実行されたタスクの結果を収集し、あらかじめ定義された次のアクションを選択し、リモートエージェントにコマンドを送信して、結果を繰り返し再評価することで、AD環境の効率的な列挙を実現していました。

攻撃者はCursorと呼ばれるAIネイティブの開発環境に加え、Claude Opus 4.5を含む複数のAIエージェントを活用して、開発活動を調整していました。

各エージェントには、マルウェアの作成、EDR回避テスト、オペレーショナルセキュリティの強化、ドキュメント生成といった具体的な役割が割り当てられていました。

AIエージェントへの記事取り込みと技術マッピングの指示(出典:Sophos)

テストラボは複数の仮想マシンで構成されており、Sophos・CrowdStrike・Microsoft Defenderのエージェントが導入されたWindows Server 2022システム、EDRなしのコントロールシステム、およびLinuxベースのSilver C2サーバーが含まれていました。この環境により、攻撃手法の継続的なテスト、分析、改良が可能となりました。

フレームワークの中核には、RustとGoを使用してカスタム実行ファイルとDLLを生成するPythonベースのペイロードジェネレーターがありました。これらのペイロードには、暗号化、サンドボックス回避技術、代替実行方法など、複数の回避レイヤーが組み込まれていました。

70種類以上の異なる回避技術をテストするために、約80のモジュールが開発されました。内部ログではEDRソリューションの回避に高い成功率が示されていましたが、Sophosの研究者はこれらの主張に矛盾点があることを指摘しました。

また、脅威アクターは公開されている脅威インテリジェンスもワークフローに組み込みました。AIエージェントには、SpecterOps・Palo Alto Networks・Kasperskyなどの組織が発表した研究から技術を抽出し、MITRE ATT&CK技術にマッピングして、テスト環境内で再現するタスクが割り当てられました。

この体系的なAI支援アプローチにより、既知の攻撃手法の迅速な実験と応用が可能になりました。

Sophos CTUはこの活動をランサムウェアの展開とデータ窃取作戦に関連付け、攻撃的なセキュリティワークフローにおけるAIの役割が拡大していることを強調しました。AIはツール開発とテストを大幅に加速させますが、意思決定と実行においては依然として人間のオペレーターが中心的な役割を担っていると研究者たちは指摘しています。

組織に対しては、タイムリーなパッチ適用、多要素認証、最新の認証方式、強固なEDRの展開を含む多層防御戦略を維持することが推奨されます。AIを活用した高度化する脅威に対応するうえで、これらの基本的な対策は引き続き不可欠です。

翻訳元: https://gbhackers.com/hackers-leverage-ai-powered-tools/

ソース: gbhackers.com
#Active Directory #AIサイバー攻撃 #C2サーバー #Cobalt Strike #EDR回避 #Sophos #ポストエクスプロイト #マルウェア開発自動化 #ランサムウェア #脅威インテリジェンス

関連記事

GitHubアクションワークフローの38%がスクリプトインジェクションリスクにさらされている

IvantiのITSMの脆弱性、攻撃者による管理者権限への昇格を可能にする恐れ

HazyBeaconキャンペーン:AWSを悪用したステルスC2通信