PROMPTFLUXは、ドロッパー型マルウェアです。
継続的な開発が実施されていることが確認されています。
生成AIの利用が一般に広がるとともに、脅威アクターによる生成AIの悪用も一般的になってきています。
いろいろな脅威アクターが生成AIを何らかの形で使用するものを作り出してきていますが、PROMPTFLUXもそういったものの中の一つです。
どのような特徴があるのでしょうか。
- Thinking Robot機能
これはPROMPTFLUXのなかに実装されている機能の一つです。
このモジュールは、定期的にGeminiにクエリを実行し、ウイルス対策ソフトウェアを回避するための新しいコードを取得するように設計されています。
この動作は、ハードコードされたAPIキーを使用して、Gemini APIエンドポイントにPOSTリクエストを送信することで実現されます。
プロンプトも練られたものになっていて出力が依頼した内容となったコードだけになるように調整されています。
このため、これをそのまま使うようにするだけで、検出回避ができてしまいます。
ウイルス対策を脅威アクターが自分自身で考えるのではなく、生成AIにやらせておけばいいじゃないか、というわけです。 - Thinging機能
いくつもあるPROMPTFLUXの亜種のなかのいくつかには、前述のThinking Robot機能とは異なるけれども類似の効能を発揮する機能が含まれているものがあります。
その一つがこのThinging機能です。
この機能は、プロンプトを利用してGemini APIに指示し、マルウェアのソースコード全体を1時間ごとに書き換えることで検出を回避します。
LLMに対し、「あなたはVBScript難読化ツールを作成するエキスパートです」といったようなアバターを設定し、一定時間毎に同じ意味合いの内容だけれども記述そのものが異なるコードを生み出させます。
これにより、静的なマッチングに依存するセキュリティ対策に引っかかることなく悪事を働くことができる状態を作り出します。
一般の人たちの間での生成AIの利用は、いろいろな方向性での活用が検討され広がりを見せていますが、それは一般的な用途だけではありません。
脅威アクターも同じように新たな戦略をもって生成AIを道具として活用しはじめています。
立ち止まることなく進んでいく必要がありそうです。
GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools
https://cloud.google.com/blog/topics/threat-intelligence/threat-actor-usage-of-ai-tools/?hl=en
| この記事をシェア |
|
|---|
