ニュースに戻る
速報

Konni APT、AI生成のPowerShellバックドアを活用したブロックチェーンセクターへの攻撃を展開

1分で読めますソース: The Hacker News

北朝鮮関連のAPTグループ「Konni」が、AI生成のPowerShellマルウェアを用いたフィッシング攻撃でブロックチェーン開発者を標的に。日本、オーストラリア、インドへの攻撃拡大とAI技術の悪用リスクを解説。

Konni APT、AI生成のPowerShellバックドアで攻撃範囲を拡大

北朝鮮との関連が指摘されるAdvanced Persistent Threat(APT)グループ「Konni」が、AI生成のPowerShellマルウェアを用いたフィッシングキャンペーンを展開し、ブロックチェーン開発者およびエンジニアリングチームを標的としていることが確認された。このキャンペーンは、セキュリティ研究機関Check Pointによって検出され、同グループの地理的標的が従来の韓国、ロシア、ウクライナ、欧州諸国に加え、日本、オーストラリア、インドにも拡大していることを示している。

技術的詳細

Konniの最新の攻撃活動では、PowerShellベースのバックドアが使用されており、これが人工知能(AI)ツールによって生成または最適化された可能性が疑われている。具体的なAIモデルや手法は未確認だが、このマルウェアは自動コード生成に特有の特徴を示している。主な特徴は以下の通り:

  • シグネチャベース検出を回避するポリモーフィックスクリプティング
  • 静的解析を困難にする難読化技術
  • 感染後に動的機能を追加可能なモジュラーペイロード配信

攻撃の流れは、ブロックチェーン業界の専門家を狙ったスピアフィッシングメールから始まる。これらのメールは、正規のプロジェクトアップデート、コラボレーション依頼、技術文書を装って送信される。PowerShellスクリプトが実行されると、永続性が確立され、コマンド&コントロール(C2)インフラと通信を行い、データの窃取、ラテラルムーブメント、または二次ペイロードの展開が可能となる。

影響分析

ブロックチェーン開発者を標的としたこの攻撃の変化は、北朝鮮のサイバー犯罪戦略と一致しており、その中でも暗号通貨の窃盗、サプライチェーン攻撃、スパイ活動を通じた金銭的利益の追求が優先されている。また、AI生成マルウェアの使用は、防御側にとって以下のリスクをもたらす:

  • 検出効果の低下:AIによるコードの変異が、従来のシグネチャベース防御を複雑化。
  • 攻撃開発の迅速化:脅威アクターはマルウェアのバリエーションを迅速に反復し、作戦テンポを向上。
  • 参入障壁の低下:技術的に未熟な攻撃者でも、AIツールを活用して能力を強化可能。

Konniが日本、オーストラリア、インドへの攻撃を拡大していることは、これらの地域で成長中のブロックチェーンエコシステムを意図的に悪用しようとする動きと考えられる。これらの地域では、規制の枠組みやセキュリティ態勢がまだ成熟していない可能性がある。

推奨対策

ブロックチェーンセクターおよび標的地域のセキュリティチームは、以下の対策を優先的に実施すべきである:

  1. フィッシング防御の強化

    • AI駆動の異常検知機能を備えたメールフィルタリングソリューションを導入。
    • エンジニアリングおよび開発チーム向けに定期的なフィッシングシミュレーションを実施。

  2. PowerShell活動の監視

    • 可能な限り署名付きスクリプトのみのPowerShell実行を制限。
    • PowerShellコマンドに対するログ記録と行動分析を実装。

  3. 脅威検出の改善

    • **エンドポイント検出および対応(EDR)**ツールを活用し、異常なプロセス実行を特定。
    • Konniのインフラに関連するC2通信パターンを検出。

  4. 開発環境のセキュリティ強化

    • ブロックチェーン開発ツールおよびリポジトリに対する最小権限アクセスを徹底。
    • サプライチェーンリスクについてサードパーティの依存関係を監査。

共有

TwitterLinkedIn