Koskeマルウェア検出：AI生成による新たなLinux脅威が出現

攻撃者はAIをますます活用して重要なビジネス資産を侵害しており、脅威の状況が危険な進化を遂げていることを示しています。Check Point ResearchのAI Security Report 2025は、脅威アクターがAIを使用してディープフェイクによるなりすまし、自動マルウェア作成、LLMの脱獄、生成型ディスインフォメーションキャンペーンを実行していることを強調しています。CyberLock、Lucky_Gh0$t、Numeroマルウェアを拡散するためのAIルアーを利用したキャンペーンに続き、サイバーセキュリティ専門家は新しいAIベースの脅威を確認しました。Koskeと名付けられたこの高度なマルウェアは、その開発過程で人工知能の大きな支援を受けたと見られており、現代のサイバー攻撃におけるAIの武器化の進行を浮き彫りにしています。

Koskeマルウェア攻撃の検出

Netaceaの調査によると、93%の企業が今後1年以内にAI駆動型攻撃を毎日受けると考えています。Splunk State of Security 2025 Reportはさらに、セキュリティリーダーが脅威アクターによる生成AIの利用について、既存攻撃の効果向上（32%）、攻撃量の増加（28%）、新たな攻撃手法の作成（23%）、偵察活動の実施（17%）を確認していると報告しています。これらの洞察は、Koskeマルウェアのような悪質なAI搭載型脅威が今後も出現する可能性を示しています。

SOC Primeプラットフォームに登録し、AIによる防御能力を活用してKoskeマルウェア攻撃を早期に検知しましょう。プラットフォームは、タイムリーな脅威インテリジェンスとアクション可能な検知コンテンツを提供し、AI搭載の検知エンジニアリング、自動化された脅威ハンティング、先進的な脅威検出を備えた製品スイートによってサポートされています。下の検知を探索ボタンをクリックして、Koske活動を特定・対応するために設計された検知ルールのコレクションにアクセスするか、Threat Detection Marketplaceで「Koske」タグを使用してください。

検知を探索

すべての検知は複数のSIEM、EDR、およびData Lakeソリューションに対応し、MITRE ATT&CK®フレームワークにマッピングされています。また、各ルールには詳細なメタデータ、脅威インテリジェンス参照、攻撃タイムライン、トリアージ推奨事項などが含まれています。

さらに、セキュリティ専門家はUncoder AIを使用して脅威調査を効率化できます。Uncoder AIは、脅威インテリジェンスに基づく検知エンジニアリングのためのプライベートIDEおよびコパイロットです。脅威レポートから検知アルゴリズムを生成し、高速IOCスイープを有効化し、ATT&CKタグを予測し、AIヒントでクエリコードを最適化し、複数のSIEM、EDR、Data Lake言語に変換します。例えば、Aqua Nautilusの調査データを使用して、RAG対応MITRE ATT&CK® v17.1を活用した最新のAttack Flow v3を生成できます。

Koske Linuxマルウェアの分析

AIは攻撃者が戦術を洗練し大規模に拡大するために利用され、新たなサイバー脅威の波を引き起こしています。同時に、AIは現代の防御戦略の柱となっています。サイバーセキュリティの未来は、AIが他の新興技術とどれだけ効果的に統合されるかによって形成されます。しかし、脅威アクターはAIを自らの利益に活用する新しい方法を模索し続けています。

Aqua Nautilusの研究者は最近、検知回避技術を備えた高度なLinux脅威を使用する新しい攻撃キャンペーンを発見し、この懸念すべき進化を示しました。Koskeは、暗号通貨マイニングを目的として設計されたAI生成の新しいLinuxマルウェアです。その適応能力はLLMまたは自動化フレームワークによる開発を示唆しています。KoskeはCPUおよびGPUに最適化された暗号通貨マイナーをインストールし、感染したシステムを悪用して18種類以上のコインをマイニングします。モジュール式ペイロード、ステルス性の高いルートキット、武器化された画像ファイルを介した配布により、Koskeは持続性が高く適応性に優れた新世代マルウェアを象徴しています。研究者は、誤設定されたJupyterLab環境を介した配信を確認しました。

感染チェーンは誤設定されたJupyterLabサーバーの悪用から始まり、攻撃者はバックドアをインストールし、短縮URLから2つのJPEG画像をダウンロードします。これらはメモリ上で直接実行され、アンチウイルスを回避する悪意あるペイロードを末尾に含むポリグロットファイルです。1つはルートキットにコンパイルされたCコード、もう1つはシステムユーティリティを使用してステルスに動作し持続性を維持するシェルスクリプトです。

初期アクセスはセルビアのIP（178.220.112.53）から行われました。侵入後、攻撃者はAIによる回避および永続化技術を使用し、.bashrcと.bash_logoutを変更してカスタムスクリプトを呼び出すシェル設定のハイジャック、/etc/rc.localとカスタムsystemdサービスによるシステムブートの操作、cronジョブのスケジューリングを行います。ペイロードは正規プラットフォームにホストされたデュアルユース画像に隠されます。これらのポリグロットファイルはパンダのJPEG画像をルアーとして使用し、画像データに悪意あるシェルコードを付加することで検知を極めて困難にします。

パンダ画像から抽出されたセカンダリペイロードには、LD_PRELOADメカニズムを使用してreaddir()関数をハイジャックするユーザーランドルートキット用の生のCコードが含まれています。このルートキットは特定の名前に基づいてファイル、ディレクトリ、プロセスをフィルタリングし、/dev/shm/.hiddenpidに格納されたPIDを使用して隠します。ls、ps、topなどのツールからのディレクトリリストをインターセプトし、悪意あるコンポーネントを不可視にします。LD_PRELOADまたは/etc/ld.so.preload経由でロードされることで、フォレンジック検出を回避しつつステルス性を保ちます。

Koskeはネットワーク設定を積極的に操作し、プロキシ変数のリセット、iptablesルールのクリア、Cloudflare/Google DNSの強制適用、chattr +iでの変更ロックを行い、DNS防御を回避してC2通信を確保します。Koskeマルウェアは18種類の暗号通貨をサポートし、ハードウェア検出に基づいてCPU/GPU最適化マイナーを展開し、プールが失敗した場合には自動で別のコインに切り替えます。

スクリプトの冗長なコメント、モジュール式のベストプラクティスロジック、セルビア語ベースの難読化された構文は、一般的に見せかけて分析や特定を困難にするLLM支援開発を示唆しています。推奨されるKoske対策として、bashの不正変更、DNS書き換え、新規systemdサービス、異常なGPU/CPU使用の監視が挙げられます。さらに、ポリグロットペイロードをブロックし、隠しルートキットの注入を防止するコンテナ保護、ネットワークセキュリティの強化が有効です。最後に、LLM特有の特徴（詳細なコメントやモジュール構造）を持つスクリプトを識別するためにAIベースの異常検知を適用することが推奨されます。

Koskeは、自動化、ステルス、永続性、そしてAI強化型という特徴を持つマルウェア進化の重大な節目を示します。この軍拡競争に対応するために、組織はLinux環境を保護するため、行動ベースでコンテキストに基づくセキュリティ対策を導入する必要があります。SOC Primeは、AIの専門知識、自動化、リアルタイム脅威インテリジェンス、その他の高度な機能を組み合わせ、組織が高度なサイバー攻撃を先取りできるよう支援する包括的な製品スイートを提供しています。