TokyoBlackHatNews

esecurityplanet.com 5分で読了

Xillen StealerがAIのような回避機能と広範な標的で進化

Xillen Stealerの新バージョンは、ブラウザ、クラウドプラットフォーム、コンテナ、開発者ツール、さらには生体認証データまでを標的とする攻撃的な機能を追加し、AIによる標的選定と回避を謳っています。

Telegramを利用した販売チャネルで共有されたこれらのアップデートは、脅威アクターがより自動化され、検出が困難な認証情報窃取オペレーションへとエスカレートしていることを示しています。

「Xillen Stealerの主な機能は、暗号資産、認証情報、システム情報、さまざまなストアからのアカウント情報を盗むことです」とDarktraceの研究者は述べています

Xillenのデータ窃取を支えるコレクター群

Xillen StealerはPythonを使用し、Rustベースのポリモーフィックエンジンによって命令変更、暗号化、デッドコード挿入などでコードを変異させ、シグネチャベースの検出を回避します。

そのモジュラー設計には、高価値データソースを狙う複数の専用コレクターが含まれています。

DevToolsCollectorは開発者環境を標的とし、IDE設定、Git認証情報、DockerやKubernetesの設定、クラウドプロバイダーのキー、データベースクライアントのデータを取得します。

PasswordManagerCollectorは、Windowsシステム上の1Password、Bitwarden、Dashlane、KeePassなどのツールから認証情報を収集します。

SSOCollectorはAzure ADトークン、Kerberosチケット、Google Cloud認証データに焦点を当て、TOTP CollectorはAuthy、Microsoft Authenticator、Chrome系TOTP拡張機能からコードを抽出します。

Enterprise CollectorはVPNクライアントデータ、RDP認証情報、Active Directory関連トークン、企業証明書を取得します。Xillen StealerはWindows Helloの生体認証ファイルの抽出も試みますが、これらはデフォルトで暗号化されています。

XillenのAIテーマ型回避戦術の内部

Xillen Stealerの検出回避は、AIEvasionEngineに集約されており、正規のシステム動作を模倣してEDRプラットフォームなどのAIベースや振る舞い検知型セキュリティツールを欺きます。

実際の機械学習ではなく、エンジンは通常のユーザー行動(偽のマウス操作、システム活動、CPUやメモリのカモフラージュ、ランダムなタイミング、ノイズ注入、APIコールの変更など)をシミュレートし、検出を回避します。

AITargetDetectionモジュールは、静的キーワードや地理的ルールを使って高価値ターゲットにスコアを割り当て、将来的なML駆動の標的選定を示唆していますが、現時点で実際のAI機能はありません。

情報流出には、ステガノグラフィ、NTFS代替データストリーム、レジストリエントリ、ポリグロットファイル、CloudProxyモジュールを使ったクラウドテーマのデータ転送などが用いられます。

また、ブロックチェーン取引、Tor、I2P、IPFS、DGAによって生成されたローテーションする.onionドメインなど、分散型C2チャネル経由でデータをルーティングすることも可能です。

情報窃取マルウェアに対する多層防御の構築方法

Xillen Stealerが急速に進化する中、組織は従来のエンドポイント保護だけでなく、多層的な防御が必要です。

  • フィッシング耐性MFAの強制、クラウドキーの定期的なローテーション、エンドポイント全体でのキャッシュトークンの制限によって、IDおよびアクセス制御を強化します。
  • Git認証情報の保護、Docker/Kubernetes設定のセキュア化、.envファイルなどの露出したシークレットの削除により、開発者およびコンテナ環境をロックダウンします。
  • 高度なEDRテレメトリ、ポリモーフィックコードの検出、異常な認証情報やブラウザデータアクセスのアラートによって、エンドポイントおよび振る舞い監視を強化します。
  • 認証情報ストアやブラウザエコシステムへのアクセス制限を行い、Credential Guardの強制、不審な拡張機能のブロック、セッション寿命の短縮を実施します。
  • 分散型C2チャネルのフィルタリング、ADSやステガノグラフィ活動の監視、不審なクラウドAPIのブロックによって、出口対策と情報流出防御を強化します。
  • 自動シークレットローテーション、ログと可視性の強化、開発者・管理者ワークステーションでの異常活動のベースライン監視により、全体的なレジリエンスを向上させます。

これらの多層防御を組み合わせることで、IDの強化、開発環境の堅牢化、検知能力の向上によるサイバーレジリエンスの構築が可能です。

AI発想の戦術がサイバー犯罪を変革

Xillen Stealerは、低スキルの開発者でもアクセスしやすい言語やAIブランドのモジュール、Telegramのような大量流通チャネルを利用して、驚くほど高度なマルウェアを組み立てられるという、サイバー犯罪エコシステムの広範な進化を浮き彫りにしています。

さらに懸念されるのは、機械学習による標的選定と回避の導入を目指している点であり、これにより認証情報窃取オペレーションの精度と規模が大幅に加速する可能性があります。

脅威アクターがAI機能の実験を続ける中、セキュリティチームは、一般的な情報窃取マルウェアが単なる認証情報収集ツールではなく、適応型侵入プラットフォームのように振る舞う未来を想定すべきです。

この攻撃者能力の進化は、ゼロトラストが基盤となる防御戦略である理由を浮き彫りにしています。

翻訳元: https://www.esecurityplanet.com/threats/xillen-stealer-evolves-with-ai-like-evasion-and-broader-targeting/

ソース: esecurityplanet.com
#AIサイバー犯罪 #AIによるマルウェア生成 #AI回避 #CSPM(クラウドセキュリティポスチャ管理) #EDR回避 #Xillen Stealer #ゼロトラスト #分散型C2 #認証情報窃取 #開発者ツール攻撃

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布