研究者らが「DeepLoad」と呼ぶ新しいマルウェアベースの認証情報窃盗キャンペーンは、過去数ヶ月間、エンタープライズのビジネスIT環境に感染しています。
月曜日にリリースされたレポートで、ReliaQuestのAI研究者Thassanaiマッケービーとアンドリュークリーはこのアタックの最も関連性のある特徴は、人工知能とその他のエンジニアリングを使用して「ほとんどの組織が依存しているコントロールを打ち破り、1つのユーザーアクションを永続的な認証情報窃盗アクセスに変える」という方法であると述べています。
DeepLoadは、偽のブラウザプロンプトやエラーページなどの「QuickFix」ソーシャルエンジニアリング手法を通じて被害者に配信されます。ユーザーが罠に引っかかった場合、マルウェア開発者(またはおそらくそのAIツール)は、攻撃チェーンの「あらゆる段階」でセキュリティテクノロジーの回避を構築するために多くの作業を行います。
ローダーは「機能的なコードを数千の無意味な変数割り当ての下に埋め込み」、ペイロードは脅威を監視している「セキュリティツールによって見落とされた」Windowsロック画面プロセスの背後で実行されます。ReliaQuestはコードパディングの「膨大な量」がおそらく人間のみの関与を除外すると述べました。
「私たちは高い確信度で、このオブスケーション層を構築するためにAIが使用されたと評価しています」とマッケービーとクリーは書いています。「その場合、組織はマルウェアの頻繁なアップデートと、波の間で検出カバレッジを適応させるための時間が短くなることを期待すべきです。」
DeepLoadはリアルタイムキーロギングを通じて認証情報を盗むことができ、セキュリティチームが初期ローダーをブロックしても、バックアップコンティンジェンシーを通じて持続することができました。
「私たちが調査したインシデントでは、ローダーが接続されたUSBドライブに拡散しました。つまり、初期ホストが唯一の影響を受けたシステムとは限らないという意味です」とマッケービーとクリーは書いています。「クリーンアップ後でも、標準的な修復ワークフロー対象外の隠れた永続化メカニズムが3日後に攻撃を再実行しました。」
ReliaQuestの研究は、過去1年間、マルウェアシグネチャやファイルベースのパターンの検索などの従来の静的サイバーセキュリティの実践が、AIモデルが一意のシグネチャを持つ攻撃ツールの無限のバリエーションを生成できるため、急速に廃止される可能性があることのより多くの証拠を提供しています。
GoogleやAnthropicのような他の組織は、AI強化型サイバー攻撃が防御者が侵害に対応する必要がある時間を劇的に短縮していることについて警告を出しています。
今年サンフランシスコで開催されたRSA Conferenceで、専門家はCyberScoopに対して、次の2年間がAI駆動型の攻撃に有利な「完全な嵐」になるだろう、サイバー犯罪者と国家がAIを防御側よりも迅速に適応させ、攻撃にさらなるスピードとスケールを追加していると述べています。
マッケービーとクリーは、静的分析監視を失いにくくするためのAIの継続的な使用は、防御者が侵害の他の指標に焦点をシフトする必要があることを意味していると述べています。
「私たちが観察したことに基づいて、組織はこのキャンペーン(および同様のキャンペーン)を早期にキャッチするために、ファイルベースのスキャンではなく、動的でリアルタイムな検出を優先する必要があります」と彼らは書いています。
翻訳元: https://cyberscoop.com/deepload-ai-malware-obfuscation-at-every-stage-reliaquest/
