- ロシア人ハッカーが弱い認証情報を使用してFortiGateファイアウォールをブルートフォース
- AI生成スクリプトがデータ解析、偵察、横展開を実現
- キャンペーンはVeeamサーバーを標的。攻撃者は堅牢化されたシステムを放棄
ロシア人ハッカーが最近、数百のファイアウォールにブルートフォース攻撃で侵入しているのが発見されました。しかし、このキャンペーンが本当に注目に値する理由は、一見スキルの低い脅威行為者が生成AI(GenAI)の助けを借りて攻撃を実行できたという事実です。
Amazonセキュリティ副所長のCJ Mosesによる新しい分析では、研究者がポート443、8443、10443、4443全体で公開されたFortiGate管理インターフェイスを「体系的に」スキャンしている脅威行為者を観察した方法が説明されています。
潜在的なターゲットを見つけた後、彼らは一般的に使用される弱い認証情報の無数の組み合わせを試してブルートフォース攻撃で侵入し、ついに成功しました。
多少の未熟さがある
侵入後、ハッカーは完全なデバイス構成ファイル(回復可能なパスワード付きSSL-VPN ユーザー認証情報、管理認証情報、ファイアウォールポリシー、内部ネットワークアーキテクチャなど)を抽出し、AI生成のPythonスクリプトを使用してそれらを解析、復号化、整理しました。
その後、復号化されたVPN認証情報を使用して内部ネットワークに接続し、カスタムAI生成偵察ツール(GoおよびPythonで記述)をデプロイし、Active Directoryに移動しました。
「ソースコードの分析により、AI支援開発の明確な指標が明らかになりました。関数名を単に繰り返すだけの冗長なコメント、機能性よりもフォーマットに不相応な投資をした単純なアーキテクチャ、適切な逆シリアル化ではなく文字列マッチングによる素朴なJSONパース、空のドキュメンテーションスタブを持つ言語組み込み関数の互換性シム」とMosesは述べました。
「脅威行為者の特定の用途には機能していますが、ツーリングは堅牢性を欠き、エッジケースで失敗します。これは大幅な改善を加えずに使用されたAI生成コードの典型的な特徴です。」
攻撃者はまた、特にVeeam Backup & Replicationサーバーを標的とし、認証情報抽出ツールをデプロイし、既知のVeeam脆弱性の悪用を試みました。
これらすべては、2026年1月11日から2月18日までのわずか数週間の間に実行されました。研究者はこれにより、攻撃者はかなり未熟だと考えています。というのは、彼らの活動全体を通じて、様々なCVEの悪用を試みましたが、ターゲットがパッチされたり堅牢化されたりしたときに大部分が失敗しました。彼らは頻繁に十分に保護された環境を放棄し、より簡単なターゲットに移りました。
そしてもちろんあなたはTikTokでTechRadarをフォローしてニュース、レビュー、ビデオ形式のアンボックスを取得し、私たちから定期的な更新をWhatsAppでも受け取ることができます。
