国家支援のAPT攻撃検出：MicrosoftとOpenAIがイラン、北朝鮮、中国、ロシアのハッカーによるAI悪用を警告

2023年を通じて、攻撃の頻度と洗練度はAI技術の迅速な進化と採用に伴い増加しています。防御側は、防御目的で生成的AIの可能性を理解し活用し始めたばかりで、敵よりも優位に立とうとしていますが、攻撃側もその背後に遅れを取っていません。ハッカーはChatGPTのようなAI駆動技術を悪用して、ターゲットを絞ったフィッシングメールの生成、Excelマクロの作成、または新しいランサムウェアサンプルの作成など、多様な悪意ある操作を行っています。AIの時代の幕開けにありながら、大規模言語モデル（LLM）がサイバー防御の未来にとって祝福か呪いかを未だに検討しています。 

中国の国家関連APTグループ、イラン、北朝鮮、ロシアは、AIとLLMの使用を既存の攻撃作戦を強化するために試行しています。

AIを用いた国家APT攻撃の検出

グローバルにエスカレートする地政学的緊張はサイバードメインにも影響を及ぼし、2023年が国家俳優の活動増加によって特徴付けられる理由の一部になっています。APTグループは常に新しい戦術、技術、手順を採用してレーダーから逃れ、その悪意ある目標を達成するため、サイバー防御者は攻撃の洗練度と量の増加に対応するためにツールを進化させる必要があります。 

明らかに、AIとLLM技術は脅威アクターの関心を集めています。それらはオープンソースデータの検索、悪意あるメモやスクリプトを多言語に翻訳すること、および基本的なエンジニアリングタスクを実行するルーチンの自動化を可能にします。 OpenAIとMicrosoftによる調査 によれば、いくつかの国家支援の集団が、その悪意ある能力を強化するためにAIを多用しています。北朝鮮の Emerald Sleet、中国のCharcoal Typhoon、ロシアの Forest Blizzard、およびイランのCrimson Sandstormを含みます。

サイバー防御者がどのような複雑さと洗練度を持つ攻撃にも先んじられるように、SOC Primeプラットフォームは脅威ハンティングと検出エンジニアリング用の高度なツールセットを提供します。グローバルな脅威インテリジェンス、クラウドソーシング、ゼロトラスト、およびAIに基づいて、このプラットフォームはAPT攻撃に対する最大の行動ベースの検出アルゴリズムのコレクションを検索し、検出カバレッジの盲点を見つけ対処し、検出エンジニアリングを自動化することを可能にしています。 

注目のAPTアクターに関連する悪意ある活動を検出するには、以下のリンクに従ってください。これらのルールはすべて28のSIEM、EDR、XDR、データレイクソリューションに対応しており、 MITRE ATT&CK® v14.1にマッピングされています。さらに、検出はCTIの参照、攻撃のタイムライン、トリアージの推奨事項などの豊富なメタデータで補強されています。

Emerald Sleet（別名 Kimsuky, APT43, Black Banshee, Velvet Chollima, THALLIUM）

Charcoal Typhoon（別名 Earth Lusca, Red Scylla）

Forest Blizzard（別名 APT28, Fancy Bear）

Crimson Sandstorm（別名 Imperial Kittens, TA456）

北朝鮮、イラン、ロシア、中国のAPT検出を目的としたすべての検出スタックを閲覧するには、以下の 検出を探す ボタンを押してください。 

検出を探す

AIを活用した国家APT攻撃の分析

MicrosoftとOpenAI は最近、5つの国家支援APTグループによる生成型AIの悪意ある使用を発見し、阻止しました。対立者は主に公に入手可能なデータへのアクセス、言語の翻訳、コーディングの欠陥の特定、基本的なコーディングタスクの実行のためにOpenAIサービスを悪用することを目的としていました。

研究により、中国、イラン、北朝鮮、ロシアの以下のハッキング集団が明らかになりました。以下に、LLM技術を武器にし、悪意ある操作を行う背後にいる5つのAPTグループを列挙します。

AIを兵器化している 中国に関連付けられた国家支援アクターの中には、Charcoal Typhoon（通称 Aquatic Panda）とSalmon Typhoon（通称 Maverick Panda）があります。前者はOpenAIの提供を利用して、複数の企業とそのサイバーセキュリティツールキットを調査し、コードをデバッグし、スクリプトを生成し、ターゲットフィッシングキャンペーン用のコンテンツを生成している可能性があります。後者は技術翻訳、さまざまな情報機関に関する公にアクセス可能なデータの収集、および防衛回避技術の研究にLLMを利用しました。 イランに支援されたCrimson Sandstorm（別名 Imperial Kitten）グループは、アプリおよびウェブ開発を支援するためのスクリプト操作、スピアフィッシング攻撃を開始するためのコンテンツ生成、および検知回避の一般的な技術を探すためにOpenAIサービスを利用しました。

悪名高い北朝鮮のハッキンググループである

（別名 Emerald Sleet または Kimusky）は、最近韓国に対する攻撃で （別名 Emerald Sleet または Kimusky）は、最近韓国に対する攻撃で を使用して注目を集めました。ハッカーは、LLM技術を利用して公にアクセス可能なセキュリティ欠陥を分析し、単純なスクリプト操作を支援し、フィッシングキャンペーンのコンテンツを生成しました。 Troll Stealer と GoBear マルウェアロシアの攻撃勢力に関しては、

研究者たちは、OpenAIの提供を悪用する Forest Blizzard （別名 APT28 または Fancy Bear）ハッカーにリンクする悪意ある活動の痕跡を特定しました。Forest Blizzardは、人工衛星通信プロトコルやレーダーイメージング技術に関するオープンソースの研究を実施し、AIに支援されたスクリプト操作を行っていました。特に、APT28はウクライナ組織に対する一連の攻撃キャンペーンを他のロシアのハッキング集団と共に行っていることが観察されています。 ウクライナでの全面的な戦争の勃発以来、一般的には フィッシング攻撃ベクトルを利用しています.

技術の進化が強力なサイバーセキュリティと安全プロトコルの必要性を促進する中、Microsoftは最近、 国家支援APTグループおよび個々のハッカーによるAIツールの使用に関連するリスク緩和の原則をカバーする研究 を発表しました。これらの原則には、攻撃勢力によるAIの悪用の特定と対応、他のAIサービスプロバイダーへの通報、迅速な情報交換のための関連する利害関係者との協力、および透明性の維持が含まれています。

脅威エコシステムの継続的な進化は、生成型AIの力によって影響を受けており、防御者と脅威アクターの両方がサイバードメインにおいて競争優位を得ようと努力しています。ゼロトラストアプローチに基づくサイバー衛生のベストプラクティスに従い、積極的な脅威検知を結びつければ、防御者はAIの時代において敵に先行することができます。SOC Primeは、脅威インテリジェンス、オープンソーシング、ゼロトラスト、および生成型AIに基づいた集団サイバー防御システムを育成しています。チームに 現在および新興のAPT攻撃に対抗するための選択された検出コンテンツ を装備させて、集団サイバー防御の行動によって敵に先んじましょう。