CAIクラウドワーム:クラウドインフラを狙う脅威の急速な台頭

クラウド戦争の新たな様相

クラウドインフラは、いまや現代の戦場と化しています。この争いはセキュリティ防御側と攻撃者の間だけにとどまりません。驚くべきことに、サイバー犯罪組織同士が互いに争うケースも見られます。たとえば、CAIクラウドワームと呼ばれる新種の脅威は、サーバーへの感染を活発に進めています。この脅威は機密性の高い認証情報を密かに窃取し、暗号資産のマイニングも行います。さらに、競合するマルウェア運営者のソフトウェアを積極的に排除するのも特徴です。

ボットネットの構造

Cloud AI Infrastructure Attack Framework(CAI)は、一元管理型のボットネットとして機能します。この高度なマルウェアは、インターネットに公開されたさまざまなサービスを標的とします。具体的には、Docker、Kubernetes、Redis、etcd、Kubelet、Rayを攻撃対象としています。これらは組織がアプリケーションを管理する上で欠かせない重要なツールです。

急速な進化とAIの関与

Hunt.ioのセキュリティ研究者らは、6月15日にCAIのインフラを初めて特定しました。その後、脅威の運営者は活動を急速に拡大させていきました。わずか3週間のうちに、予備的なテスト段階からネットワーク全体への本格的な感染活動へと移行したのです。調査担当者は、マルウェアのソースコード内に興味深い異常点を発見しました。コードの断片からは、人工知能の言語モデルが関与している可能性がうかがえます。さらに、特定の戦術的な手口は既存の手法と酷似していました。これらの手法は、悪名高いPCPJackやTeamPCPといったクラウドワームの手口と強い類似性を示しています。CAIクラウドワームが競合マルウェアを排除する様子を詳述した最新の分析は、こうした激しい縄張り争いの実態を浮き彫りにしています。

体系的な攻撃手法

CAIはインターネットを系統的にスキャンし、脆弱なサービスを洗い出します。次に、発見した脆弱なターゲットを自動的にキューへ登録します。そしてマルウェアは、統一されたコマンドサーバーを介して連携攻撃を指揮します。標的システムへの侵入に成功すると、複数のペイロードを展開します。まず、リソースを大量に消費する暗号資産マイニングツールをダウンロードします。次に、悪質な認証情報窃取モジュールをインストールします。最後に、Pythonで書かれた秘密のリモートアクセス経路を確立します。

サイバー犯罪の競合排除

専用のサブルーチンが、競合勢力の活動を積極的に探索します。これらは特にTeamPCPやPCPJackの稼働中プロセスを特定し、強制終了させます。さらに、これらのモジュールは競合勢力に関連するファイルを容赦なく削除します。その結果、運営者は貴重なシステムリソースを解放することに成功します。彼らは、乗っ取った計算リソースに対する完全な支配権の掌握を目指しています。

実証された脅威の能力

コマンドサーバーのログは、積極的な攻撃キャンペーンの実態を明確に示していました。一方で、検証可能な暗号資産ウォレットの取引記録が、数多くの侵害成功を裏付けています。現時点では、CAIフレームワークは極端に複雑な構造を持つには至っていません。しかし、この脅威は驚くべき速度で進化を続けています。すでに未熟なテストプロジェクトの段階を脱し、成熟を遂げています。今や、クラウドインフラに壊滅的な打撃を与えかねない、強力なプラットフォームへと変貌を遂げているのです。

翻訳元: https://meterpreter.org/cai-cloud-worm-threat/

ソース: meterpreter.org