脅威アクターTA547が、既知の情報窃取型マルウェアRhadamanthysを用いてドイツの組織を標的にしていることが確認された。
Proofpointの最新レポートによると、この脅威アクターがこの種の活動に関連付けられたのは今回が初めてだという。
研究者によれば特に興味深いのは、このアクターがChatGPT、Gemini、CoPilotといった大規模言語モデル(LLM)によって生成された可能性が高いPowerShellスクリプトを用いているように見える点だ。
TA547は、ドイツの著名な小売企業Metroになりすまし、請求書に関するメールを送信した。これらのメールはドイツ国内のさまざまな業界に属する多数の組織に送られ、パスワード保護されたZIPファイルが添付されており、その中にLNKファイルが含まれていた。
実行されると、このLNKファイルはPowerShellを起動してリモートスクリプトを開始し、最終的にRhadamanthysマルウェアをディスクへの書き込みを必要とせず、直接システムメモリに読み込んで実行した。
注目すべきことに、このPowerShellスクリプトには、一般的な脅威アクターや正規のプログラマーのコードではあまり見られない特徴があり、LLMの関与の可能性を示していた。具体的には、各スクリプト要素の上に文法的に正しく、過度に具体的なコメントが付されており、これはLLM生成コンテンツの特徴の一つである。
このキャンペーンは、圧縮されたLNKの採用やRhadamanthysの導入など、TA547の戦略的な転換を示している。また、脅威アクターが悪意ある活動において、LLM生成が疑われるコンテンツをどのように活用しているかも浮き彫りにしている。
サイバーセキュリティにおけるLLM生成コンテンツの影響について詳しく読む:RSAのeBookが解説する「AIが2024年のサイバーセキュリティをどう変革するか」
しかし、Proofpointによると、脅威アクターはLLMを使って複雑な攻撃チェーンの理解を助け、キャンペーンを強化できる可能性がある一方で、これによってマルウェアの機能や有効性が変わるわけではないという。実際、同社は、悪意あるソフトウェアの出自にかかわらず、ほとんどの振る舞いベースの検知メカニズムは有効なままだと考えている。
同社は、「LLM生成のフィッシングメールがビジネスメール詐欺(BEC)を行う際に、人間が作成したコンテンツと同じ特性を用い、自動検知によって捕捉されるのと同様に、機械生成コードを取り込んだマルウェアやスクリプトも、サンドボックス(またはホスト)上で同じように動作し、同じ自動防御を作動させる」と説明した。
翻訳元: https://www.infosecurity-magazine.com/news/rhadamanthys-deployed-ta547-german/
