サイバーセキュリティ研究者は最近、米国で人工知能(AI)に関わる取り組みに従事する組織を標的とした高度なサイバーキャンペーンを発見した。
2024年5月のこのキャンペーンは「UNK_SweetSpecter」と名付けられ、Gh0stRATをベースに調整されたリモートアクセス型トロイの木馬(RAT)であるSugarGh0st RATを用いている。この亜種は歴史的に中国語話者の脅威アクターと関連付けられてきたが、現在はAI関連の組織を標的とする目的で再利用されている。
Proofpointが本日公開したアドバイザリによると、攻撃では無料のメールアカウントを用いてAIをテーマにした誘い文句を配布し、受信者に添付のzipアーカイブを開かせるよう誘導していた。
その後の感染チェーンは、Cisco Talosが以前に特定したパターンと非常によく似ていた。注目すべき点として、攻撃者は永続化のためにレジストリキー名を変更し、別のコマンド&コントロール(C2)サーバーを使用していた。
Proofpointの 分析により、UNK_SweetSpecterがC2通信を新たなドメイン(account.gommask[.]online)へ切り替えていたことが明らかになり、攻撃者の 機動性が浮き彫りになった。
初回報告以降、SugarGh0st RATが関与したキャンペーンはわずか数件にとどまっており、極めて標的を絞った作戦であることを示している。
「これらのキャンペーンは技術的に高度なマルウェアや攻撃チェーンを活用しているわけではないが、[当社の]テレメトリは、特定されたキャンペーンが極めて標的型であるという評価を裏付けている」とProofpointは記した。
「2024年5月のキャンペーンは10人未満を標的としていたようで、オープンソース調査によれば、その全員が米国拠点の主要な単一の人工知能組織と直接のつながりを持つとみられる。」
当初の帰属は中国語のオペレーターを指し示していたものの、この主張を裏付ける決定的な証拠はない。しかし、AIの専門家に焦点を当てていることや、AIへのアクセスをめぐる米中の緊張と時期が重なることは、潜在的な動機を示唆している。
「AI開発を支える技術へのアクセスが中国の組織に対して制限される可能性がある場合、中国と連携するサイバーアクターが、中国の開発目標をさらに推進するために、その情報へアクセスできる人物を標的にする可能性がある」とProofpointは説明した。
AI関連の脅威についてさらに読む:RSAの電子書籍が、2024年にAIがサイバーセキュリティをどのように変革するかを詳述
翻訳元: https://www.infosecurity-magazine.com/news/sugargh0st-rat-targeted-ai/
