出典:Lightspring / Shutterstock
脅威アクターが、正規に見えるAIツールやソフトウェアを利用し、世界中の組織への将来的な攻撃のためにマルウェアを忍び込ませています。
Trend Microの研究者が「EvilAI」として追跡しているこのキャンペーンは、すでに製造業、政府、医療などの分野で数百の被害者を出しており、米国、インド、英国、ドイツ、フランス、ブラジルなど、世界各地の組織が感染しています。
急速に拡大する脅威
Trend Microはこのオペレーションについて、AIやデジタル署名、非常にリアルな外観や機能を活用し、容易な検知を回避する高速な動きを見せていると説明しています。「わずか1週間の監視で、EvilAIマルウェアの積極的かつ急速な拡散が明らかになりました」とTrend Microは今週のレポートで述べています。「複数地域にわたる迅速かつ広範な拡散は、EvilAIが単発のインシデントではなく、現在も野生で流通しているアクティブかつ進化中のキャンペーンであることを強く示しています。」
脅威アクターは、一見正規に見える生産性向上アプリやAI強化アプリ(App Suite、Epi Browser、JustAskJacky、Manual Finder、Tampered Chefなど)を使ってマルウェアを隠しています。この手法自体は使い古されたものですが、EvilAIキャンペーンで注目すべきは、アプリを本物らしく見せるために攻撃者が多大な労力をかけている点です。
Trend Microの分析によると、これらのアプリは「プロが作成したようなユーザーインターフェースと、実際に動作する機能」を備えており、ユーザーや組織がソフトウェア利用時に期待するものとなっています。たとえばRecipe Makerアプリは実際にレシピ管理機能を備え、Manual Finderはユーザーがシステム内のドキュメントを検索するのを支援します。ほとんどのアプリでは、マルウェアコード自体がAIによって生成されており、ウイルス対策や脅威検知ツールの注意を引く要素がほとんどありません。よくある脅威アクターの手法である有名アプリの模倣ではなく、EvilAIの運営者は無害で一般的な名前の新規アプリにマルウェアを隠し、本物らしさを演出しています。
AI強化型マルウェア
「信じられる機能性とステルス性の高いペイロード配信を組み合わせることで、AIはトロイの木馬のような古典的な脅威を復活させ、現代のウイルス対策(AV)防御に対する新たな回避能力を与えています」とTrend Microは述べています。
さらに欺瞞を強めているのがデジタル署名です。Trend Microは、脅威アクターが複数の新規登録団体からコード署名証明書を取得し、悪意あるアプリにデジタル署名を施すことで、検知ツールがマルウェアをスキャンする際に求める信頼性を与えていることを発見しました。App Interplace LLC、Byte Media Sdn Bhd、Global Tech Allies ltd、Pixel Catalyst Media LLCなどの名前を持つほとんどの団体は、過去1年以内に登録されたようです。これらは、マルウェア作成者がマルウェア署名用のデジタル証明書を取得する際によく使う「使い捨て企業」の典型例だとTrend Microは述べています。
高度な手口であるものの、このキャンペーンは依然として、ユーザーが本来避けるべき選択をしてしまうことに少なからず依存しています。攻撃者がアプリを配布する手段の一つは、検索エンジンの結果に表示される悪意ある広告からダウンロードサイトへ誘導する方法や、SNSやフォーラムでのプロモーションリンク経由です。Trend Microは、脅威アクターがベンダーのアプリポータルやテクニカルサポートページを模倣した新規登録ウェブサイト上でもマルウェアをホストしているのを確認しています。
将来の攻撃のための準備
一度インストールされると、悪意あるアプリは宣伝通りに動作しつつ、裏でさまざまな悪質な活動を行います。その中には、被害者環境の詳細な偵察や、インストール済みセキュリティ製品の特定が含まれます。偵察が完了すると、EvilAIアプリはMicrosoft EdgeやChromeブラウザのプロセスを強制終了し、Bitdefender、Kaspersky、Fortinetなど特定のセキュリティ製品の無効化を試みます。マルウェアは、制御フローのフラット化やアンチ解析ループなど、署名ベースの検知ツールによる検出を困難にする多様な難読化手法を使用します。多くのマルウェアツールと同様に、EvilAIアプリはスケジュールタスクのトリガーやレジストリ操作を利用して感染システム上で持続性を保ち、コマンド&コントロール(C2)サーバーとの通信を暗号化します。
Trend Microの市場戦略担当副社長であるEric Skinner氏は、これらの悪意あるアプリは将来のエクスプロイト活動の準備段階として使われている可能性が高いと述べています。「Trendの研究者は、現時点でこのマルウェアを『ステージャー』と分類しており、初期アクセスの獲得、持続性の確立、将来のペイロードの準備を行っています」とSkinner氏は付け加えます。「現時点では、後続の段階で何が行われるかは不明です。このマルウェアは、初期アクセスブローカー(IAB)によって主に利用されている可能性もあります。」
Skinner氏によれば、従来の署名ベースのウイルス対策製品(静的解析に依存するものを含む)は、マルウェア作成者が用いた積極的な難読化技術のため、EvilAIアプリを見逃すリスクが高いとのことです。リアルタイム検知機能(現代のエンドポイント検知・対応(EDR)ツールが提供するようなもの)は、AI対応の脅威が急増している現在、極めて重要だといいます。「ここ数年、リアルタイムで異常な挙動を検知できるエンドポイントセキュリティソリューションの活用がますます重要になっています。」
Trend Microの推奨事項には、異常なプロセス挙動、ネットワークトラフィック、システム異常の監視や、未承認ツールをブロックする厳格なアプリケーション制御の実施が含まれています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/ai-backed-malware-hits-companies-worldwide