Aqua Securityは7月24日(現地時間)、「AI-Generated Malware in Panda Image Hides Persistent Linux Threat」において、AI支援によって作成されたとみられる新種のLinuxマルウェア「Koske」を発見したと発表した。
この攻撃は、画像ファイルに見せかけた不正コードを用いて侵入し、仮想通貨マイニングを目的とした持続的かつ巧妙な攻撃を展開するというものだ。LLM (大規模言語モデル)のを活用したと考えられるコード構造や防御回避のための高度な戦略であり、AIとマルウェアの融合が新たな脅威となっている。
-
AI-Generated Malware in Panda Image Hides Persistent Linux Threat
AIが生んだ悪意:「Koske」によるLinux攻撃の脅威
攻撃はJupyterLabの誤設定を突いて開始される。攻撃者はセルビアのIPアドレスを経由してシステムに侵入し、無害に見えるJPEG画像をダウンロードさせる。これらの画像は「ポリグロットファイル」と呼ばれる形式であり、画像データに加えて悪意あるコードが末尾に埋め込まれている。このコードはメモリー上で直接実行され、従来のウイルス対策ソフトを回避する。C言語で書かれたルートキットとシェルスクリプトがそれぞれ実行され、システム内での痕跡を極力残さない構造となっている。
Koskeの持続性は、複数のレイヤーによって強化されている。.bashrcや.bash_logoutの改変により起動時の自動実行が設定され、さらに/etc/rc.localとカスタムsystemdサービスの連携で高い権限での永続実行が確保される。定期実行のためのcronジョブや、自動再起動機能付きのshellkoske.serviceも用意されており、一度感染すると除去が困難な構造を形成する。こうした設計が、AIによる自動化や最適化の成果である可能性が高い。
18種類の暗号資産に対応
防御回避の面では、LD_PRELOADを悪用したルートキットの導入が際立っている。これは、標準的なシステム関数readdir()を乗っ取ることで、特定のプロセスやファイルを不可視化する手法だ。対象の文字列やPIDをフィルタリングし、ユーザーの監視ツールから完全に隠蔽する。さらに、DNS設定の書き換えやiptablesの初期化、プロキシ環境の強制変更などを通じて、C2通信の妨害を避ける設計となっている。これらの複雑な処理の自動化も、AI支援による可能性がある。
Koskeは18種類もの暗号資産に対応し、CPUやGPU性能を自動で判別して最適なマイニングモジュールを投入する。接続障害時にはプロキシの切り替えや通信経路の再構築まで行い、継続的な稼働を維持する。コメントや構文の構成からも、コードの一部はLLMによって生成された兆候を示している。
今後、マルウェア開発にAIが積極的に利用されることで、分析の困難さと脅威の高度化が進む可能性がある。
TP-Link製ルータに重大な脆弱性、使用中止を
