ハッキングエージェントおよびボットネット運用者として悪用されたGoogle Gemini CLI

「bandcampro」と名乗るロシア語圏の脅威アクターが、Googleのオープンソース製AIツール「Gemini CLI」をハッキングエージェントとして使用し、小規模なボットネットの運用にも利用していたことが分かりました。

このAIエージェントは攻撃者の指示に応答し、その場で問題をトラブルシューティングしたほか、少なくとも59回にわたって作戦上の改善案まで提案していました。

4月21日から5月19日にかけて行われた200件以上のセッションで、この脅威アクターはAIツールと連携し、歯科医院内の8台のシステムを制御するインフラを構築・運用するとともに、OpenDentalデータベースへのアクセスを試みていました。

このAIエージェントは、安全上の免責事項を一切表明しない「認可されたペネトレーションテスター」の役割を演じ、取得した認証情報を自動的に保存していました。

そのスキルファイルには、C2(コマンド&コントロール)の運用手順が記載されており、アーキテクチャの説明、標準的な操作手順、感染用コード、永続化のためのコマンド、トラブルシューティングの手順まで一式が含まれていました。

ボットネットを制御するAI

Trend Microの研究者によると、この脅威アクターはGemini CLIを使ってボットネットを新しいC2インフラへ移行させていました。「C2の移行手順を確認せよ」という一つの指示から始まり、AIはガイドを解析し、移行プロセスに必要なすべての手順とコードを準備しました。

このAIは、アーキテクチャ設計、コーディング、VPS展開、Cloudflareの設定、初期段階のデバッグまでを一手に引き受け、わずか6分でC2インフラの移行を完了させました。

「AIは移行ガイドを読み込んだ後、サーバーコード、ペイロード、スキルファイルを含む小さなアーカイブである『移行バンドル』を準備しました。続いてそのバンドルを展開し、VPS上でC&Cサーバーを起動し、Cloudflareトンネルを立ち上げました」とTrend Microは述べています

当初、感染マシンが再接続に失敗した際には、AIが旧サーバーと新サーバー間でトラフィックが競合していることを診断し、攻撃者が旧サーバーを停止させた後、すべてのボットが再接続に成功しました。

Image

日々の運用ログを見ると、この脅威アクターはボットネットの管理をすべて自然言語による指示だけで行っていたことが分かります。どのマシンがオンラインかを尋ねたり、特定のコンピューター上のファイル一覧を取得させたり、感染用リンクを生成させたりしていました。

Operational overview

技術的な観点から見ると、このボットネットの構成は驚くほど軽量で、すべてのコンポーネントと命令が合計約5KBの3つのプレーンテキストファイルに収められていました。

これらのファイルには、Geminiのジェイルブレイク用プロンプト、感染・永続化・トラブルシューティングを網羅したC2運用手順、そしてインフラを再構築するための移行ガイドが含まれていました。

C2にはインメモリで動作するPythonのHTTPサーバーが使われ、PowerShellエージェントが5秒ごとにポーリングを行っていました。また永続化には、権限に応じてスケジュールタスク、WMIイベント、レジストリ変更が用いられていました。

Trend Microによると、このマルウェア自体は難読化やパッキング、検知回避の仕組みを備えておらず、さほど高度なものではなかったとのことです。

ボットネット以外にも、このアクターはAIをパスワード推測にも利用していたとみられ、既存パスワードのもっともらしい変化形を生成してWordPressの管理画面に対して試したり、1Passwordのダンプデータを分析して悪用の糸口を探ったりしていたようです。

研究者らによると、この試みが失敗に終わったのは、作戦が長期化しすぎたことでAIが攻撃全体の構想を見失ってしまったために過ぎないとのことです。

入手されたログによれば、少なくとも一度、自己増殖する「エージェント爆弾」の作成を求められた際にGeminiは応じることを拒否していますが、これによって脅威アクターは単に別のタスクを試すことにしただけでした。

BleepingComputerは、今回のGemini CLI悪用事例についてコメントを求めるためGoogleに連絡を取りましたが、本稿公開時点では回答を得られていません。

攻撃者に先んじて、あらゆる防御層をテストする

セキュリティチームが検知できているのは成功した攻撃の54%にとどまり、アラートが発せられるのはわずか14%です。残りは検知されないまま環境内を通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(Breach and Attack Simulation)を用いてSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/google-gemini-cli-abused-as-a-hacking-agent-malware-botnet-operator/

ソース: bleepingcomputer.com