セキュリティ研究者によると、パキスタン関連の脅威グループ Transparent Tribe(APT36 としても追跡)は、AI 支援コード生成を中心に構築された新しいマルウェア開発パターンを示しています。
このシフトは非常に高度なマルウェアを生み出しているわけではありません。しかし、このグループが多くのプログラミング言語にわたって多数の使い捨てツールを作成するのに役立っています。
研究者はこのモデルを「vibeware」コードと呼んでいます。これは迅速に生成され、頻繁に変更され、しばしば不完全ですが、実際の侵入操作をサポートするのに十分な有用性があります。
この研究は、Transparent Tribe が AI 支援開発を使用してマルウェア生産を産業化していることを示しています。Nim、Zig、Crystal、Rust、Go、.NET、C# のサンプルが見つかり、Havoc、Cobalt Strike、Gate Sentinel などの確立されたツールと共に使用されていました。
この幅広い言語の組み合わせは、多くのセキュリティツールが C++ または C# で書かれた一般的なマルウェアに対してより良く調整されているため、ディフェンダーの検出ベースラインをリセットするのに役立ちます。
しかし、品質にはばらつきがあります。一部のインプラントには明らかなロジックエラーが含まれていました。そのうちの 1 つは Go ベースのスティーラーで、コマンド&コントロールアドレスがあるべき場所にテンプレート プレースホルダーを残していたため、データ流出が不可能になっていました。
他のマルウェア サンプルは、コードがより複雑になると失敗しました。研究者は、これは構文的には正しいが論理的には不完全な AI 生成コードの兆候だと述べています。
別の重要なトレンドは、bitdefender Living Off the Trust of Services を、コマンド&コントロールおよびデータ盗難に使用することです。
研究者は Discord、Slack、Google Sheets、Firebase、Supabase、Google Drive を使用するインプラントを見つけました。これらのサービスは、攻撃者のトラフィックを通常のエンタープライズ ネットワーク活動に溶け込ませながら、カスタム インフラストラクチャの必要性を減らすのに役立ちます。
マルウェア セットには、バックドア、シェルコード ローダー、情報盗取ツール、ドキュメント収集ツール、ブラウザ データ盗難ツールが含まれています。
一部のペイロードは永続性のためにスケジュール タスクを使用していますが、その他はメタデータとファイルをクラウド サービスに送信する前に、ローカルに SQLite データベースにデータをステージングしていました。
研究者は、アクセスが得られると、キャンペーンは依然として大幅に手動であると述べています。AI はマルウェア作成を高速化していますが、人間のオペレーターは侵害後の活動の中心のままです。
主なリスクは技術的な優雅さではありません。これは、脅威アクターがディフェンダーへの圧力を維持し、複数の並列チャネルを通じてアクセスを維持するために、十分に機能するマルウェアを大量生産する能力の増加です。
翻訳元: https://cyberpress.org/transparent-tribe-uses-vibeware/