北朝鮮の脅威グループが人工知能ツールを使用して、グローバル企業にリモート技術者を長期採用させるという同国の長年のスキームを加速・拡大している、とマイクロソフト脅威インテリジェンスは金曜日の報告書で述べた。
AIサービスは攻撃ライフサイクル全体にわたって北朝鮮の実行犯に力を与えている。攻撃者はAIを「戦力倍増器」に変え、ターゲットの調査、悪意のあるリソースの開発、アクセスの取得と維持、検出回避、攻撃と侵害後の活動用ツールの武装化への取り組みを強化・自動化していると研究者は述べている。
マイクロソフトは、Coral Sleet、Sapphire Sleet、Jasper Sleetとして追跡している3つのグループがAIを使用して、特定の職業市場と職務に対してデジタルペルソナを作成するのに要する時間を短縮していると述べた。これらのグループは金銭的な機会やインタビューをテーマにした釣り餌を頻繁に活用して初期アクセスを取得している。
Jasper Sleetはアップワークなどのプラットフォームでの求人情報を調査するために生成型AIツールを使用して、需要の高いスキルや経験要件を特定し、偽装ペルソナをターゲットの職務に合わせていると報告書でマイクロソフトは述べた。
研究者は、脅威グループが詐称や実時間音声変調のためのAI駆動メディア作成により、「社会工学および初期アクセス操作の規模と高度さを大幅に改善している」と警告している。
北朝鮮の脅威グループはAIサービスを使用して、複数の言語で母語水準の流暢さで内部通信を模倣した釣り餌を生成してきた。
「これらのテクノロジーにより、脅威行為者は前例のないスピードと量で高度にカスタマイズされた説得力のある釣り餌とペルソナを作成でき、これは複雑な攻撃が発生するための障壁を低下させ、侵害成功の可能性を高める」と研究者は報告書に記した。
マイクロソフトはJasper SleetがAIアプリケーション「Faceswap」を使用して、北朝鮮のIT労働者の顔を盗まれたアイデンティティドキュメントに挿入し、場合によっては複数のペルソナ全体で同じAI生成写真を再利用していることを観察している。
Jasper SleetはまたAI対応通信を活用して、実行犯が被害組織に正常に採用された後、検出を回避し長期雇用を維持している。マイクロソフトは北朝鮮の遠隔IT労働者がAIツールを促して、専門的な応答を作成し、技術的な質問に答えたり、不慣れな環境でのパフォーマンス期待を満たすためのコードスニペットを生成していることを観察している。
マイクロソフトは、北朝鮮の脅威グループがAIを使用して、以前に観察された侵害後の活動を改善し、意思決定に必要な時間と専門知識を削減していると述べた。これらのAI駆動タスクは、不慣れな侵害環境の分析を加速させ、横展開のための実行可能なパスを特定し、実行犯が正当な活動に溶け込むことを可能にする。
北朝鮮の脅威グループはまたAIを使用して権限をエスカレートし、機密記録または認証情報を特定して盗み、セキュリティ制御を分析することで検出のリスクを最小化している。
生成型AIはAIを含むほとんどの脅威活動を構成するが、マイクロソフトはエージェンティックAIへの移行が進行中であると述べた。
「脅威行為者にとって、このシフトは、フィッシングキャンペーンを継続的に改善し、インフラストラクチャをテスト・適応させ、永続性を維持するか、新しい機会のためにオープンソースインテリジェンスを監視する半自律ワークフローを有効にすることにより、トレードクラフトの意味のある変化を表す可能性がある」と研究者は報告書に記した。
「マイクロソフトは、継続的な信頼性と運用上の制約により、脅威行為者によるエージェンティックAIの大規模使用をまだ観察していない」と研究者は付け加えた。しかし、マイクロソフトは警告し、実験はエージェンティックAIシステムがより高度で有害な活動にもたらす可能性を示していると述べた。
翻訳元: https://cyberscoop.com/microsoft-north-korea-ai-operations/
