従来型の攻撃手法の枠を超え、侵害したインフラを悪意ある計算クラスタへと転用する、極めて高度なフレームワークを紹介する新種のアンダーグラウンド広告が確認されました。
Flareがサイバーセキュリティニュース(CSN)と共有したレポートによると、Myceliumフレームワークは従来型のマネタイズ手法から、高度な「AI-as-a-Service」モデルへとパラダイムシフトを遂げているといいます。
一見すると、このダークウェブへの投稿は、クロスプラットフォーム実行や暗号化されたコマンド&コントロール、認証情報窃取を謳う、よくある過剰装飾型のマルウェア宣伝文句に見えます。
しかし、真の革新性は、利用可能なリソースに基づいて侵害したシステムを評価し活用する能力にあります。
この能力認識型プラットフォームは、感染した端末を使い捨てのノードとして扱うのではなく、処理ユニット、ブラウザセッション、ローカルAIモデル、盗んだAPIキー、企業の認証情報に基づいて、侵害したホストを動的に分類します。
これらの資産を評価することで、フレームワークは分散推論、パスワードクラッキング、自動化されたソーシャルエンジニアリング、エクスプロイト開発、包括的な偵察といった専門的なワークロードをシームレスに割り当てます。
IntCyberDigestは、この進化が、単純な一度限りのデータ窃取よりも計算能力とアクセス権そのものの価値が高まりつつあるという広がりつつある傾向を浮き彫りにしていると指摘しています。
この変革には、さまざまな運用上の側面を支えるモジュール式プラグインを軸とした本番運用グレードのインフラが必要です。
この広告を分析したセキュリティ研究者は、フレームワークが暗号化されたInternet Relay Chatプロトコル上で動作する一元管理インターフェースに依存していると説明しています。
この仕組みにより、一元的なタスク割り当てが可能になり、大規模な侵害マシン群を統制しつつ、運用上の通信を傍受から守ることができます。
オペレーターは、基盤となるマルウェアを再展開することなく、個々のホストをまったく異なる役割に設定し直すことができます。これにより、エコシステム全体がWindowsおよびLinuxシステム双方にまたがる運用要件の変化に対して、驚くほどの耐性と適応力を持つようになっています。
必要な計算ノードを継続的に確保するため、脅威アクターは企業インフラ、管理コンソール、重要アプリケーションへの侵入を狙う広範なエクスプロイトライブラリを組み込んでいます。
このフレームワークは、GitLabに影響を及ぼすCVE-2021-22205をはじめ、Microsoft ExchangeのProxyShell、Spring4Shell、特定のアプリケーションパスを経由するLog4Shellなど、多数の著名な脆弱性を積極的に標的としています。
さらに、この攻撃ツール群にはF5 BIG-IP、Citrix NetScaler、Atlassian Confluence、VMware vCenter、Fortinet、Apache Struts、ActiveMQ、Jenkins、Tomcat Manager向けに調整されたエクスプロイトモジュールも含まれています。
この多様な標的化戦略により、ボットネットは外部からの足掛かりを確保できるだけでなく、窃取した認証情報、Server Message Block(SMB)による拡散、Secure Shell(SSH)鍵を利用して、企業内部ネットワークでの横展開を促進することが可能になっています。
初期アクセスを獲得すると、フレームワークは強固な永続化を確立し、獲得した各ワーカーノードの稼働期間を最大化します。Windowsシステムでは、レジストリの実行キー、スケジュールタスク、Component Object Model(COM)ハイジャッキングを利用します。
一方、Linuxホストではsystemdサービスとcronジョブによって永続化が確保されます。
これらの永続化メカニズムを補完するのが、一連の防御回避手法です。これには、テレメトリのランタイムパッチングや、環境スコアリングによるサンドボックス検知が含まれます。
さらに、専用のブラウザフォレンジックモジュールがアプリケーション固有の機密情報や有効なセッショントークンを抽出し、侵害された各エンドポイントの利用価値を大幅に高めているとFlareは述べています。
最も特徴的な革新は、「Mind Collective」と名付けられた分散型インテリジェンスグリッドで、ノードの能力に基づいてタスクを明示的に管理します。
盗んだAPIアクセス権を持つプレミアム階層のノードは、価値の高い経営幹部を狙った標的型攻撃や、高度なコンテンツ生成のために温存される場合があります。
一方、ローカルモデルを実行する下位階層のマシンには、大量のスパム生成や自動会話の作成といったタスクが割り当てられることがあります。
この文脈認識型のルーティングにより、コストのかかる処理は高品質なリソースによって処理されることが保証されます。これは、正規の企業向けクラウドオーケストレーションシステムに見られるワークロードの優先順位付け、フェイルオーバー、冗長性といった概念を、事実上そのまま反映したものと言えます。
翻訳元: https://cyberpress.org/mycelium-powers-distributed-ai/