長年にわたり、国家支援のハッキングは、セキュリティホールの発見、マルウェアとエクスプロイトの作成、ソーシャルエンジニアリングやフィッシング攻撃の実行など、人間の専門知識によって定義されていました。
LLM搭載のAIアシスタントとツールの登場以来、スキルの低い攻撃者でも、本来なら手の届かないような攻撃や侵害を実行できるようになりました。
その例がHexagonalRodentです。Expelの調査によると、このグループは生成AIを多用しており、テレメトリーはCursor(AI対応コードエディタ)とChatGPTが彼らの作業全体で活発に使用されていることを示しています。
HexagonalRodentとは?
HexagonalRodentは国家支援の北朝鮮APTグループで、Expelの評価では、正規のリモートIT労働者を装って企業に潜入することを専門とするFamous Chollimaのサブグループまたは派生部門です。
グループのマルウェアツールキット(BeaverTail、OtterCookie、InvisibleFerret)は、DPRK生態系内のいくつかの異なるクラスターに共有されており、それぞれが独自のターゲット設定優先度と作業スタイルを持っています。
これらのクラスターの一部は大手暗号交換所のネットワークへの高度な侵入を実行していますが、HexagonalRodentは個々のWeb3開発者をターゲットにすることを専門としています。
個々の暗号投資家と小規模ブロックチェーンプロジェクトは、しばしば重要なデジタル資産を保有していますが、エンタープライズグレードのセキュリティインフラストラクチャを欠いています。大手暗号通貨交換所とは異なり、ソフトウェアウォレットに400,000ドルを持つソロ開発者は簡単なターゲットです。
HexagonalRodentの典型的な攻撃は、ソーシャルエンジニアリングでターゲットにマルウェアを実行させることから始まります。彼らはLinkedIn経由で職業オファーを提示してWeb開発者に接触します。
グループはまた、精巧な偽の企業ウェブサイトを立ち上げ、それらの企業のLinkedInプレゼンスを偽造し、Web3に焦点を当てたキャリアプラットフォームに求人を掲載しています。
ターゲットが職に応募した後、コーディングスキルのテストを完了するよう求められます。彼らがプロジェクトフォルダをVSCodeで開くと、マルウェアの実行がトリガーされます。
「さらに、スキル評価にはコードにバックドアが含まれており、コードが実行される際に実行されるように設計されています。これはVSCodeを使用していないターゲットの主な感染ベクターとして機能し、ユーザーがプロジェクトをセーフモードで開いたり、VSCodeタスクが無効になっている場合のフォールバックとしても機能します」とExpel研究者のMarcus Hutchinsは説明しました。
グループのAI搭載ツールの使用
HexagonalRodentのメンバーにとって、AIは参入障壁を引き下げ、かつては流暢な言語スキル、洗練されたコード修正、慎重なペルソナ管理が必要だった作業を実行できるようにしました。これらの機能は、正規の用途のために構築された商用AIツールに部分的に「アウトソースされ」ています。
グループは以下を使用しています:
- 偽の企業ウェブサイトを作成するために、AI搭載のウェブサイト設計・開発プラットフォーム「Anima」を使用
- 新しいマルウェアローダーを開発するために「Cursor」を使用、そして
- パスワード回復と認証情報セキュリティワークフロー、サーバーおよびインフラストラクチャセキュリティ、開発者トラブルシューティング、暗号ウォレット回復プロセス、およびおそらくソーシャルエンジニアリング層などの事柄を支援するために「ChatGPT」を使用
ExpelはグループのアクティビティについてOpenAIとCursorの両方に通知しました。Cursorは攻撃に関連するアカウントとIPアドレスをブロックしたことを確認し、OpenAIはデュアルユース(ポジティブとネガティブの両方)の可能性を持つトピックについて支援を求めた少数のアカウントを認めましたが、相互作用は継続的なマルウェア開発ではなく限定的な使用であり、セーフティシステムが明らかに悪意のあるリクエストをリダイレクトしたと述べました。
しかし、Expelはグループが「その場しのぎで作られた」と見られる2つの新しいツールを使用していることの証拠を発見しました。
「また、複数の脅威アクターがスキル評価のコードをマルウェアについて監査するために、様々な米国所有のAIモデルにプロンプトを出していることの証拠も見られました。これはおそらく、彼らのバックドアをAI耐性にするための試みの一部だと考えられます」とHutchinsは指摘しました。
「これまで、脅威アクターのキャンペーンのいくつかは、ターゲットがスキル評価のソースコードを監査するためにAIを使用した結果として露出していました。最先端のAIモデルはしばしば簡単にバックドアを検出でき、その結果、複数のターゲットが脅威アクターのペルソナを公に暴露することになったのです。」
HexagonalRodentが成功し続ける理由
Expelの広範な調査は、過去数ヶ月のHexagonalRodentの成功をマッピングすることに成功し、その結果は驚くべきものです。
「データに含まれている被害者のIPアドレスとシステムホスト名から、脅威アクターのキャンペーンが合計26,584個の暗号通貨ウォレットを2,726台の感染した開発者のシステムから外部流出させたことが推測できます」とHutchinsは述べました。
これらのウォレットから盗まれた約1,200万ドル相当の暗号資産がどの程度であるかは不明です。
グループの秘密裏なアプローチと作業はしばしばしばらくの間気付かれず、企業ネットワーク内でラテラルムーブメントを追求しないため、より小さなフォレンジック痕跡を残します。
彼らのその場しのぎのマルウェアもエンドポイント検出・対応ソリューションのレーダー下をしばしば飛び越えます。(もっとも、個々の開発者が常にEDRや他のセキュリティソリューションを実行しているわけではないという事実も役に立ちます。)
「グループは、正規の開発者がソースコードをリバースエンジニアリングおよび/または盗難から保護するために使用される、商用JavaScriptオブファスケータ「obfuscator.io」を使用しています。難読化されたJSマルウェアは他の難読化されたJSコードのように見えるだけなので、これはアンチマルウェアシグネチャを書くために非常に困難です」とHutchinsは指摘しました。
最後に、グループはそのマルウェアをNodeJSとPythonで記述しています。これら2つのプログラミング言語は開発者によって広く使用されていますが、マルウェア作成者によってはほとんど使用されていません。なぜなら、これらの言語ランタイムは一般的なコンピュータにインストールされていないからです。
しかし、HexagonalRodentはソフトウェア開発者をターゲットにしており、彼らはほぼ常にどちらもインストールしています。攻撃者にとってさらに有利な点は、NodeJS開発者のマシンで実行されているNodeJSコードを見ることは完全に正常に見えるということです。マルウェアは被害者の日々の作業に溶け込むことによって、平気で隠れています。
