JadePuffer:初の完全自律型AI駆動ランサムウェア作戦

Sysdigのサイバーセキュリティ研究者らは、大規模言語モデルによってエンドツーエンドで駆動される初のランサムウェア作戦を記録した。これは、完全な恐喝キャンペーンを実行するためのスキル要件を引き下げるマイルストーンである。

JadePufferと名付けられ、エージェンティック脅威アクター(ATA)に分類されるこの作戦は、インターネットに露出したLangflowインスタンスを介して初期アクセスを獲得した。このインスタンスはCVE-2025-3248に対して脆弱であり、オープンソースのAIオーケストレーションフレームワークにおける認証欠落の欠陥で、認証なしのリモートコード実行を許すものである。そこから、LLM駆動のエージェントが自律的に侵入ライフサイクル全体を連鎖させた:偵察、認証情報の収集、ラテラルムーブメント、永続化、データ破壊、身代金要求メモの配布。

キーボードの前に人間はいない。 SysdigがAIによる自律性の証拠として挙げるのは、4つの観察結果に基づいている。ペイロードには各ステップを説明する自然言語のコメントが含まれており、「High-ROI databases to drop」のような行があった。これらはモデルがデフォルトで生成するアーティファクトだが、人間のオペレーターがワンライナーに書くことはない。バックドア管理アカウントの挿入が失敗したとき、エージェントはエラーを診断し、31秒以内に修正ペイロードを発行した。これは人間の反応時間よりもはるかに速い。また、環境に仕掛けられた自由テキストのヒントを解析し、パターンマッチングではなく意味理解に基づいて行動した。そして、正準的なドキュメント例であるBitcoinアドレスを使用した。これはモデルが幻覚したか、公開リファレンス資料を使用するオペレーターが設定したかのいずれかである。

攻撃チェーン。 エージェントはまず、侵害されたLangflowホストを列挙し、環境変数をスイープしてLLMプロバイダーのAPIキー、クラウド認証情報、暗号通貨ウォレットを探した。サーバーのバックエンドPostgresデータベースをダンプし、次に内部ネットワークをスキャンしてデータベース、オブジェクトストア、設定サービスを探した。デフォルト認証情報を使用するMinIOインスタンスを発見し、保存された設定ファイルから認証情報を抽出した。

そこからエージェントは、別の本番環境のMySQLおよびNacos設定サーバー(真の標的)にピボットした。Nacosのデフォルト署名キーを悪用してJWTトークンを偽造し、バックドア管理アカウントを注入した。最初のバックドア試行が失敗すると、31秒後に修正スクリプトが到着した。その後、MySQLのAES_ENCRYPT関数を使用して1,342個すべてのNacos設定項目を暗号化し、データベーステーブルを削除して身代金要求メモを残した。

回復不能。 Sysdigは、暗号化キーがランダムに生成され、一度だけ印刷され、保存も送信もされなかったと指摘した。つまり、身代金が支払われたとしても、攻撃者が引き渡せるキーは存在しない。

研究者らは、個々の手法のいずれも目新しいものではなかったが、完全な攻撃のエージェンティックな連鎖は構造的変化を表すと結論付けた。「ランサムウェアを実行するためのスキル要件は、エージェントを実行するのにかかる費用まで低下した」とSysdigのMichael Clarkは書いている。

雅子 訳

Source: Sysdig, ZDNet, BleepingComputer, CSA

Scroll to Top