Slopolyは、2026年から確認されているマルウェアの名称です。
いくつか特徴的な部分があります。
みてみましょう。
- Slopolyはフレームワークの一部
SlopolyはC2フレームワークのクライアントコンポーネントであると考えられています。
これが動作開始してしまった環境は、外部への接続性の維持を開始します。 - SlopolyはLLMが生成
SlopolyはLLMで生成されたものと考えられています。
内容が高度である、などの特徴があるわけではなく、徹底したコメントの記述、丁寧な変数名の命名、丁寧な関数名の命名、などの特徴から、通常の人間の開発者がここまでできるとは考えられない仕上がりとなっているため、これはLLMで生成されたものなのではないかと考えられています。
まだ現時点ではどのLLMが使われたのかまでは推測が進んでいません。 - Slopolyの変種
Slopolyには、同じだけれども異なる個体が複数あります。
タイムスタンプと静的な設定値(セッションID、ミューテックス名、C2 URL、ビーコン間隔など)が挿入されて構成されています。
これらの値を脅威アクターが指定し、マルウェアの生成ツールで生成しなおしてマルウェアバイナリが作成されていると考えられます。
このため、論理的な構造は全く同じなんだけれども、バイナリとしては異なるものが生成されることになります。
この点は、セキュリティソフトウェアでの対応を難しくする要素となると考えられます。
なお、ソースコードの中のコメントには「ポリモーフィック」という単語も登場しますが、現時点ではそこまでの機能は実装されていない状態です。 - Slopolyの機能
Slopolyは、多くの機能を提供します。- システム情報を収集する
- 30秒ごとにハートビートビーコンを/api/commandsに送信する
- 50秒ごとにコマンドをポーリングする
- cmd.exe 経由で受信したコマンドを実行する
- コマンド出力をC2サーバに送り返す
- 循環するpersistence.logファイルを維持する
- 「Runtime Broker」というスケジュールされたタスクを通じて永続性を確立する
- Slopolyは大きな侵害行為のなかで使用される
Slopolyはこれ単体で侵害行為に使われるのではなく、もっと大きな一連の侵害行為のなかの一部として使われます。
いろいろなバリエーションがあるように思われますが、たとえば、ClickFixソーシャルエンジニアリングから開始し、NodeSnakeを送り込み、InterlockRATが開始され、InterlockRATが複数のペイロードを展開します。
このInterLockRATが展開する複数のペイロードのなかの一つとして使われたりします。
InterLockRATが展開するSlopoly以外のペイロードには、InterLockもあります。
InterLockはランサムウェアです。
大きな攻撃の流れの各要素は、別のものに置き換わって実施されることも多いでしょう。
脅威アクターのLLMの使いどころは、広がりがとまりません。
A Slopoly start to AI-enhanced ransomware attacks
https://www.ibm.com/think/x-force/slopoly-start-ai-enhanced-ransomware-attacks
| この記事をシェア |
|
|---|
