PR

Googleが警告:LLM悪用の新型AIマルウェア群が実運用

Security

Source:https://www.bleepingcomputer.com/news/security/google-warns-of-new-ai-powered-malware-families-deployed-in-the-wild/

スポンサーリンク

🛡 概要

Google Threat Intelligence Group(GTIG)は、攻撃者が実行時に大規模言語モデル(LLM)を呼び出してコードを生成・改変する新手法を観測した。実験的なVBScriptドロッパー「PromptFlux」、データマイナー「PromptSteal(別名LameHug)」、PowerShellリバースシェル「FruitShell」、GitHub/NPMトークン窃取の「QuietVault」、Luaベースの実験的ランサムウェア「PromptLock」など、複数のAI対応マルウェアが報告されている。これらは動的スクリプト生成、難読化、オンデマンド関数作成により検出回避と運用柔軟性を高める。GTIGは悪用されたGeminiアクセスを停止し、追加の防護策を導入した。

🔍 技術詳細

PromptFluxはVBScript製のドロッパーで、最新版ではGoogleのLLMであるGeminiを外部参照し、難読化されたVBScriptバリアントをその場で生成する。永続化はWindowsのStartupフォルダ(ユーザープロファイル配下)へのエントリ作成で試み、USBなどのリムーバブルドライブやマップドネットワーク共有を介した横展開機能も持つ。特徴的なのは定期的にGeminiへ問い合わせて新しい回避コードを受け取る「Thinking Robot」モジュールで、マルウェア作者が“メタモーフィック”な自己変形スクリプトを志向している兆候がある。GTIGはこのGemini APIアクセスを無効化し、関連アセットを削除した。

PromptSteal(LameHug)はウクライナでの展開が観測されたデータマイナーで、動的なスクリプト生成と難読化、オンデマンド関数の作成で収集・窃取処理を柔軟化する。FruitShellはPowerShellベースのリバースシェルで、C2接続を樹立し任意コマンドを実行可能。公開入手できるマルウェアで、LLMベース解析の回避を狙うハードコード済みプロンプトを含むとされる。QuietVaultはJavaScriptで記述された認証情報窃取ツールで、GitHub/NPMトークンを狙い、取得した資格情報を動的に作成した公開GitHubリポジトリへ流出させる。さらにローカルのAI CLIツールとプロンプトを活用し、追加のシークレット探索と持ち出しを行う。PromptLockはLuaスクリプトを用いてWindows/macOS/Linuxでデータ窃取と暗号化を行う実験的ランサムウェアである。

また、Geminiの悪用事例として、CTF参加者を装って安全策の回避を試みた中国系アクター、学生を偽ってマルウェア開発/デバッグに利用したイラン系MuddyCoast(UNC3313)、フィッシングとデータ分析に用いたAPT42、OSSTUN C2フレームワークの高度化に活用したAPT41、多言語フィッシングや暗号資産窃取・ディープフェイク作成に使った北朝鮮系Masan(UNC1069)やPukchong(UNC4899)などが報告され、該当アカウントは停止された。

CVSS:該当なし(本件は特定ソフトウェアの脆弱性ではなく、マルウェア運用手口の報告)。

⚠ 影響

  • 検出回避:実行時にLLMが生成する新しい難読化・関数により、静的シグネチャや単純なYARA/正規表現の回避が容易になる。
  • 横展開・持続化:Startupフォルダによる自動起動、USB・共有を介した拡散で社内に定着しやすい。
  • サプライチェーン汚染:GitHub/NPMトークン流出はリポジトリ改ざんやパッケージ供給網侵害に直結する。
  • クロスプラットフォーム影響:Lua/PowerShell/JS等の汎用スクリプト基盤を悪用し、Windows/macOS/Linuxに跨る被害が発生し得る。

🛠 対策

  • LLM APIの出口制御:業務で不要なLLM API(例:*.googleapis.com など)への通信をSEG/NGFW/DNSで遮断し、例外はプロキシ認証付きの許可リスト経由に限定。
  • スクリプト実行制御:PowerShell Constrained Language Mode、Script Block/Module/Transcription LoggingとAMSI連携を有効化。Windows Script Host(wscript/cscript/VBScript)は原則無効化。ASRルールでOffice/スクリプトの子プロセス抑制。
  • 永続化/横展開対策:Startupフォルダ監視、リムーバブルメディアのデバイス制御(書込禁止/自動実行無効)、SMB共有の実行権限最小化。
  • 開発者環境のSecret保護:GitHub組織のSSO必須化、PATの最小権限・期限設定、IP許可リスト、Secret Scanning/Push Protection活用。NPMの2FAと発行トークンのスコープ制限、漏えい時の即時ローテーション。
  • DLP/監視:GitHubへの異常な公開リポジトリ作成/大量pushやトークン使用元の地理/ASN逸脱をSIEMで検知。C2疑いトラフィックのTLS SNI/JA3異常や突然のPowerShell外向接続を検出。

📌 SOC視点

  • プロセス監視:wscript.exe/cscript.exe/powershell.exeの子プロセス連鎖(cmd.exe→powershell.exe→curl等)。Windows 4688、Sysmon 1でコマンドライン引数(-EncodedCommand, -ExecutionPolicy Bypass)を記録。
  • スクリプトログ:PowerShell Operational 4104(Script Block Logging)、AMSIイベントの検知失敗やCLRリフレクション呼び出しの増加に注目。
  • レジストリ/ファイル監査:Startupフォルダ配下のvbs/js/lnk新規作成、T1547.001に対応するRun Keys/Startupの変更(Sysmon 11/13)。
  • ネットワーク:不審な外向きHTTPS(短時間で高頻度・小サイズ)、C2既知ドメイン/ダイナミックDNS、GitHub API/リポジトリへの異常push(新規公開Repoの突発作成)。Sysmon 3/22で可視化。
  • 可観測性向上:EDRのスクリプト可視化(AMSI連携)、DNS/TLSログの相関、開発者端末におけるgit, gh, npmのプロセス監視。

📈 MITRE ATT&CK

  • Initial Access/Execution: T1059(Command and Scripting Interpreter), T1059.001(PowerShell), T1059.005(VBScript)
  • Persistence: T1547.001(Registry Run Keys/Startup Folder)
  • Defense Evasion: T1027(Obfuscated/Compressed Files and Information), T1562(Impair Defenses)
  • Lateral Movement: T1091(Replication Through Removable Media), T1570(Lateral Tool Transfer)
  • Command and Control: T1071.001(Application Layer Protocol: Web Protocols)
  • Credential Access/Collection: T1552(Unsecured Credentials), T1552.001(Credentials In Files)
  • Exfiltration: T1567(Exfiltration Over Web Service)
  • Impact: T1486(Data Encrypted for Impact)

🏢 組織規模別助言

  • 小規模(〜50名):EDRの標準ポリシーでスクリプト監視を有効化し、Windows Script Hostを無効化。GitHubは組織SSOと2FA必須化、PAT期限を30日以内に。USBは原則読み取り専用。
  • 中規模(50〜500名):プロキシでLLM/APIのドメイン制御とユーザー/デバイス単位の許可リスト運用。PowerShellの監査ログとAMSIをSIEMに集約し、T1059/T1547/T1567向けユースケースを整備。開発用と業務用ネットワークを分離。
  • 大規模(500名以上):eBPFやEDRの振る舞い検知でJIT自己変形の異常(高頻度の子プロセス生成/短寿命スクリプト)をモデリング。GitHub EnterpriseでPush Protection/Secret Scanningを組織強制、PATのIP許可リストと監査APIの定期検査、DLPで公開リポジトリ作成の逸脱検知。

🔎 類似事例

  • BlackMamba(HYAS, 2023):LLMを用いたポリモーフィック型キー ロガーのPoC。
  • Octopus Scanner(2020):GitHub上のビルドチェーン感染を狙うマルウェア(サプライチェーン汚染の先例)。
  • Raspberry Robin:リムーバブルメディア経由の拡散で知られるワーム(横展開技術の類似)。
  • 地下市場のAI犯罪ツール(WormGPT/FraudGPT等の広告):フィッシング・マルウェア生成の敷居低下を示す動向。
  • APT41のOSSTUN高度化:LLM支援のコード改良でC2基盤を強化した実例。

🧭 次の一手

  • 技術担当者向け:PowerShell/WSHのハードニング手順とAMSI・ScriptBlock Loggingの完全ガイドを参照し、社内標準イメージへ組み込み。
  • ネットワーク担当:LLM/API向けドメインの出口制御プレイブックを整備し、例外申請フローを策定。
  • 開発組織向け:GitHub/NPMトークン保護チェックリスト(SSO、最小権限、期限、IP制限、Push Protection)で自己点検し、漏えい時の自動ローテーション手順を演習。
  • CSIRT/SOC向け:ATT&CK T1059/T1547/T1567/T1486の検出ユースケースをSIEMに実装し、疑似インシデントで運用確認。
Security
スポンサーリンク
SecureShield セキュリティニュースまとめ
スポンサーリンク