CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施
目次:
As GenAI サイバーセキュリティにおいて防御機構を強化する強力な利点で現代のサイバーセキュリティを形作り続ける中、脅威者が技術を悪用して悪意のある活動を行うため、新たなリスクも同時に生まれています。最近、攻撃者が偽のAIインストーラーを誘餌として使用し、多様な脅威を拡散していることが観察されており、その中にはCyberLockやLucky_Gh0$tランサムウェアストレイン、新たに特定されたマルウェア「Numero」が含まれています。
偽AIツールを使用したランサムウェアおよびマルウェア攻撃を検出する
攻撃者はAIの急速な採用を悪用し、重要なビジネス資産を危険にさらしています。Gartnerの2025年サイバーセキュリティのトップトレンドレポートは、GenAIの影響が高まっていることを強調し、組織がセキュリティのアプローチを強化し、より柔軟でスケーラブルな防御フレームワークを採用するための新たな機会を指摘しています。
CyberLock、Lucky_Gh0$t、Numeroの悪意あるストレインが偽のAIツールインストーラーに偽装して広がる新たなサイバー攻撃の波に対抗するために、組織のサイバーセキュリティ体制を強化するための最先端の技術で支えられたキュレーションされた検出を提供するSOC Prime Platformに登録することを推奨します。クリックして 検出を探る ボタンを使用して関連する脅威に対抗するためのSigmaルールに即座にアクセスできます。
セキュリティ専門家はまた、 Uncoder AIに頼ることができます。これは、SIEM / MDR / EDR利用ケースの開発と検証、最適化、ドキュメント化から日常的な検出エンジニアリングプロセスをサポートし、ワークフローを加速し、カバレッジを向上させます。ライブ脅威レポートからAIでサポートされた検出ルールを生成し、カスタムAIプロンプトで検出コードを作成し、56以上の言語形式で構文を検証し検出ロジックを精緻化し、個人のAIコパイロットを使用してMITRE ATT&CK(サブ)技術でSigmaルールを強化します。
Uncoder AIの実用的なユースケースの1つとして、チームは Cisco Talos研究に関連するIOC を使用して、詐欺的なAIツールインストーラーを利用した最新の攻撃をカバーすることができます。Uncoder AIを使用すると、セキュリティエンジニアは生の脅威インテリジェンスを即座に解析し、選択したSIEMまたはEDR形式に合わせてカスタマイズされたハンティングクエリに変換することができます。
Uncoder AIはまた、MITREのオープンソース Attack Flowプロジェクトに触発された革新的な機能を導入し、防御者が孤立した行動の分析から完全な敵対者シーケンスのマッピングに移行できるようにします。Cisco Talosのようなレポートを活用することで、セキュリティチームはTTPチェーンを視覚化し、従来のIOCを超えた積極的な検出戦略を開発することができます。
CyberLock、Lucky_Gh0$tランサムウェア、およびNumeroと名付けられたマルウェア:攻撃分析
Cisco Talosの研究者は、最近、CyberLockとLucky_Gh0$t have recently unveiled several emerging threats, including the CyberLock and Lucky_Gh0$t ランサムウェアを含むいくつかの新たな脅威を発表しました。それらは、正当なAIソフトウェアインストーラーの偽装という形で配布されています。これらの攻撃で感染を広げるための誘餌として使用された武器化されたAIツールの中には、OpenAI ChatGPTやInVideoのように広く認識されているAIツールが含まれています。
PowerShellで開発されたCyberLockランサムウェアは、被害者のマシン上のターゲットファイルを暗号化するように設計されています。別の脅威であるLucky_Gh0$tはYashmaランサムウェアの亜種として特定されており、広範なChaosランサムウェアファミリーに属し、コアバイナリの最小限の変更のみを示しています。対照的に、Numeroは破壊的なマルウェアとして分類され、Windows GUIコンポーネントを変更することによって被害者を妨害し、感染したシステムを実質的に使用不可能にします。
防御者は、これらのAIツールの本物のバージョンがB2Bセールスおよびマーケティングで広く使用されていることを指摘し、キャンペーンの背後にいるサイバー犯罪者がその分野のプロフェッショナルを標的にしている可能性が高いとしています。例えば、1つの偽装サイト、 novaleadsai[.]comは、NovaLeadsという実際のリード収益化サービスを装っていると考えられています。研究者は、SEOポイズニングを通じて検索結果での可視性を人工的に高めていると疑っています。このサイトの訪問者は、1年間のAIツールへの無料アクセス、その後月額95ドルのサブスクリプションという詐欺的なオファーに引き寄せられています。しかし、ダウンロードリンクをクリックすると、.NET実行可能ファイル名 NovaLeadsAI.exeを含むZIPファイルが配布され、サイトが公開された2025年2月2日にコンパイルされました。この実行可能ファイルはドロッパーとして機能し、基幹のCyberLockランサムウェアを起動します。
CyberLockランサムウェアは.NETローダーを介して配信されます。実行されると、Windows API呼び出しを使用してPowerShellウィンドウを非表示にし、埋め込まれた公開鍵を復号してファイル暗号化のためのAESキーを派生させます。既に管理者権限で実行されていない場合、権限を昇格して再起動しようとします。ターゲットのファイルを暗号化した後、CyberLockはデスクトップに ReadMeNow.txt という名の身代金メモをドロップし、サイバーセキュリティブログからダウンロードした画像にデスクトップ壁紙を設定します。次にWindowsの内蔵ツール cipher.exe を使用し、 /w フラグを使用してハードドライブの空き領域を上書きし、削除したファイルを回復不能にし、フォレンジック分析を複雑にします。このワイピング技術は以前のAPT攻撃で見られたことがありますが、Talosは過去のキャンペーンとのリンクは見つけませんでした。
研究者は、攻撃者がChatGPTのプレミアムバージョンを装った偽インストーラーを介してLucky_Gh0$tランサムウェアを拡散していることを観察しました。悪意のある自己解凍(SFX)アーカイブには「dwn.exe」という名前のランサムウェアのペイロードを含むフォルダが含まれており、Microsoftの正当な「dwm.exe」を模倣しています。このパッケージはまた、通常AzureベースのAI開発で使用されるMicrosoftの公式GitHubリポジトリからの正当なAIツールをバンドルしています。被害者がSFXインストーラーを実行すると、埋め込まれたスクリプトがランサムウェアを起動します。Lucky_Gh0$tは Yashmaランサムウェアの亜種で、1.2GB未満のファイルを暗号化し、ボリュームシャドウコピーとバックアップを削除して回復を妨げます。攻撃終了時に残された身代金メモは、ユニークな復号IDを含み、被害者にSessionメッセージングアプリを介して攻撃者と連絡を取り、支払いを交渉し、復号ツールを受け取るよう指示します。
これらの攻撃で使用される別の悪意のあるサンプルは、本物のAI動画ツールInVideo AIのインストーラーを装う新たな破壊的マルウェア「Numero」の使用です。この偽インストーラーは悪意あるバッチファイル、VBScript、およびNumero実行可能ファイル(「wintitle.exe」)を含んでおり、ユーザーのテンポラリフォルダにペイロードをドロップし、無限ループで起動します。実行されると、バッチファイルはNumeroを実行し、VBScriptを使用して60秒間一時停止します。C++で書かれ、2025年1月にコンパイルされたNumeroはウィンドウ操作マルウェアのように動作します。既知の分析ツールとデバッガの検出をかわし、被害者のデスクトップを繰り返し破損させ、「1234567890」という文字列でGUI要素を上書きしてシステムを使用不能にします。マルウェアはバッチループを通じて再起動を繰り返し、持続性を確保します。
AIの影響力の増大と偽インストーラーを使用した敵対者の使用との重なりは、進化する脅威に対抗するための強力なサイバーセキュリティ防御の重要性を強調しています。防御者はAIソフトウェアソースの真正性を確認し、信頼できるベンダーからのみダウンロードすることを推奨します。 SOC Prime Platformを活用することで、倫理的かつ責任あるAI、自動化、リアルタイムの脅威インテリジェンスに支えられ、 ゼロトラスト の原則に基づいて、世界中の組織が未来に対応した技術で防御を強化し、拡大し続ける攻撃面をシームレスにナビゲートするためのセキュリティチームを装備することができます。