Last Updated on 2024-10-01 06:32 by admin
Microsoftは、北朝鮮に関連する国家支援のサイバー攻撃者が、作戦をより効率的かつ効果的にするために人工知能(AI)を使用し始めたと警告している。特に、Emerald Sleet(別名KimuskyまたはTA427)というグループが、韓国半島の専門家を狙ったスピアフィッシングの努力を強化するためにLLM(大規模言語モデル)を使用していることが観察された。この敵対者は、北朝鮮に焦点を当てた組織や専門家に対する脆弱性の調査や偵察を行うために、AIの最新の進歩にも依存している。また、技術的な問題のトラブルシューティング、基本的なスクリプトタスクの実行、スピアフィッシングメッセージのドラフト作成にLLMを使用している。MicrosoftはOpenAIと協力して、この脅威アクターに関連するアカウントと資産を無効にした。
Proofpointによる先週の報告書によると、このグループは、北朝鮮政権にとって戦略的に重要なトピックに関する長期的な情報交換のためにターゲットとの接触を確立するために、無害な会話の開始キャンペーンを行っている。Kimsukyの手法は、攻撃の成功の可能性を高めるために、シンクタンクや非政府組織関連の人物を利用してメールを正当化することにある。しかし、最近では、DMARCポリシーの緩和を悪用して様々な人物を偽装し、ターゲットのプロファイリングのためにウェブビーコン(追跡ピクセル)を組み込むようになった。
北朝鮮のハッキンググループは、暗号通貨の窃盗やサプライチェーン攻撃に引き続き従事しており、Jade Sleetと呼ばれる脅威アクターは、2023年6月にエストニアの暗号通貨会社から少なくとも3500万ドル、翌月にはシンガポールの暗号通貨プラットフォームから1億2500万ドル以上を盗んだ。Jade Sleetは、オンラインの暗号通貨カジノを攻撃し、偽のGitHubリポジトリや武器化されたnpmパッケージを利用して、暗号通貨および技術組織の従業員を標的にしている。また、2023年8月にはドイツのIT会社がDiamond Sleet(別名Lazarus Group)によって侵害され、11月には台湾のIT会社のアプリケーションを武器化してサプライチェーン攻撃を行った。これは、主に武器プログラムのための収入を生み出すことに加え、アメリカ、韓国、日本に関する情報を収集する目的がある。
Lazarus Groupは、セキュリティ保護を損ないマルウェアを展開するために、Windows Phantom DLL HijackingやmacOSのTransparency, Consent, and Control(TCC)データベース操作などの複雑な方法を使用しており、その洗練さと逃げ足の速さに貢献している。また、Konni(別名Vedalia)グループによる新しいキャンペーンがあり、Windowsのショートカット(LNK)ファイルを使用して悪意のあるペイロードを配信している。この脅威アクターは、元の.lnk拡張子を隠すために二重拡張子を利用し、悪意のあるコマンドラインを隠すためにLNKファイルに過剰な空白を含めている。攻撃ベクトルの一環として、コマンドラインスクリプトは、検出を回避し、埋め込まれたファイルと悪意のあるペイロードを見つけるためにPowerShellを検索した。
【ニュース解説】
Microsoftは、北朝鮮に関連する国家支援のサイバー攻撃者が、人工知能(AI)を活用してその作戦をより効率的かつ効果的にするようになったと警告しています。特に、Emerald Sleet(別名KimuskyまたはTA427)というグループが、韓国半島の専門家を狙ったスピアフィッシングの努力を強化するために、大規模言語モデル(LLM)を使用していることが観察されました。この敵対者は、北朝鮮に焦点を当てた組織や専門家に対する脆弱性の調査や偵察を行うために、AIの最新の進歩にも依存しています。また、技術的な問題のトラブルシューティング、基本的なスクリプトタスクの実行、スピアフィッシングメッセージのドラフト作成にLLMを使用しています。
この動きは、サイバー攻撃の手法が進化し続けていることを示しています。AI技術の活用により、攻撃者はより巧妙で効率的な攻撃を行うことが可能になります。例えば、AIを使用して生成されたメールは、従来の手法よりも説得力があり、ターゲットにとって警戒心を抱かせにくいものとなります。また、AIを利用することで、脆弱性の調査や偵察活動を自動化し、大量のデータから有用な情報を迅速に抽出することが可能になります。
しかし、この技術の進歩は、セキュリティ対策にも新たな課題をもたらします。AIを駆使した攻撃は、従来のセキュリティシステムやフィルタリング技術では検出が困難になる可能性があります。そのため、セキュリティ業界は、AIによる攻撃を検出し、防御するための新しい手法や技術の開発を迫られています。
また、このような攻撃の背景には、政治的または経済的な動機が存在することが多く、国家間の緊張関係や競争を反映しています。北朝鮮によるこの種のサイバー攻撃は、外貨獲得や軍事的な情報収集を目的としていることが指摘されています。これらの活動は、国際社会における安全保障の問題としても重要な意味を持ちます。
長期的な視点で見ると、AI技術の発展は、サイバー攻撃だけでなく、サイバー防御の分野においても大きな変革をもたらす可能性があります。AIを活用した防御システムの開発や、AI技術を用いたセキュリティの自動化が進むことで、より高度なセキュリティ対策が可能になると期待されています。しかし、そのためには、AI技術の倫理的な使用や、プライバシー保護の観点からの検討も必要となります。サイバーセキュリティの未来は、技術の進歩とそれに伴う課題の克服にかかっています。
from Microsoft Warns: North Korean Hackers Turn to AI-Fueled Cyber Espionage.