WormGPT 4 や KawaiiGPT のような制限のない大規模言語モデル(LLM)は、悪意あるコードを生成する能力を高めており、ランサムウェアの暗号化ツールやラテラルムーブメント用の機能的なスクリプトを提供している。
Palo Alto Networks の Unit42 の研究者らは、サイバー犯罪者の間で有料サブスクリプションや無料のローカルインスタンスを通じて採用が進んでいるこれら2つのLLMを使って実験を行った。
WormGPT モデルは当初、2023年に登場したが、その年のうちにプロジェクトは中止されたと報告されている。WormGPT 4 は、9月に現れたこのブランドの復活版である。月額50ドル、または220ドルの買い切りで利用でき、サイバー犯罪オペレーション向けに特別に訓練された、検閲のない ChatGPT 亜種として機能する。
無料でコミュニティ主導の代替としては KawaiiGPT があり、今年7月に確認された。これは、よく作り込まれたフィッシングメッセージを生成し、すぐに実行可能なスクリプトを生成することでラテラルムーブメントを自動化できる。
WormGPT 4 のロッカースクリプト
Unit 42 の研究者らは、この悪意ある LLM の能力をテストするため、Windows ホスト上のすべての PDF ファイルを暗号化するランサムウェアコードの作成を試みた。
このツールは、特定のパス内で特定のファイル拡張子を探索するように設定でき、AES-256 アルゴリズムを使ってデータを暗号化する PowerShell スクリプトを生成した。
出典: Unit 42
研究者によると、生成されたコードには Tor を介してデータを流出させるオプションまで追加されており、現実的な運用要件を反映しているという。
別のプロンプトでは、WormGPT 4 は「ぞっとするほど効果的なランサムノート」を生成し、「軍事レベルの暗号化」をうたうとともに、支払い要求を倍増させる前の期限として72時間を提示した。
出典: Unit 42
研究者によれば、「WormGPT 4 は BEC(ビジネスメール詐欺)やフィッシング攻撃において、もっともらしい言語操作を提供する」ため、これまで経験豊富な脅威アクターが実行していたような、より複雑な攻撃に、スキルの低い攻撃者でも関与できるようになる。
KawaiiGPT の能力
KawaiiGPT は、今年文書化されたもう一つの LLM である。Unit 42 の研究者らはバージョン 2.5 をテストし、Linux システム上でのセットアップにわずか5分しかかからないと述べている。
出典: Unit 42
研究者らは、以下のような内容を生成するよう指示するプロンプトを用いて、その能力をテストした。
- 現実的なドメインスプーフィングと認証情報収集用リンクを備えたスピアフィッシングメッセージの生成。
- paramiko SSH ライブラリを使用してホストに接続し、exec_command() を通じてリモートでコマンドを実行する、ラテラルムーブメント用の Python スクリプト。
- os.walk を使って Windows ファイルシステム上でターゲットファイルを再帰的に探索し、その後 Python の smtplib ライブラリを用いてデータをまとめ、攻撃者が管理するアドレスへ流出させる Python スクリプト。
- 支払い手順、期限、典型的な暗号化強度の主張をカスタマイズ可能なランサムノートの生成。
出典: Unit 42
KawaiiGPT は、WormGPT 4 のように実際の暗号化ルーチンや機能的なランサムウェアペイロードを生成することは示さなかったものの、そのコマンド実行能力により、攻撃者が権限昇格、データ窃取、さらなるペイロードの投下および実行を行える可能性があると研究者らは警告している。
これら2つの悪意ある LLM には、専用の Telegram チャンネルに数百人の購読メンバーが存在し、コミュニティ内でノウハウやアドバイスが交換されている。
「これら2つのモデルの分析により、攻撃者が脅威情勢の中で悪意ある LLM を積極的に利用していることが確認された」と Unit 42 は警告し、これらのツールはもはや理論上の脅威ではないと付け加えている。
いずれのケースでも、未熟な攻撃者が高度な攻撃を大規模に実行できるようになり、被害者の調査やツール作成に必要な時間が短縮される。また、これらのモデルは、従来の詐欺に見られるような文法ミスがなく、洗練され自然な表現のフィッシング誘導文を生成する。
