検知回避に悪用される AI ネイティブ IDE「Cursor」

Sophos X-Ops のアナリストは、「レッドチーム」のポストエクスプロイトフレームワークにおいて、ある攻撃者が AI テクノロジーを用いて Endpoint Detection and Response (EDR) 回避戦術をテストしている様子を確認しました。この活動は、顧客テナント内で登録された異常なエンドポイントが、C:\Users\User\Documents\test から送信されたペイロードに対してアラートを発した際に検知されました。このディレクトリ内の複数のファイルは悪意のあるものであり、検知回避に焦点を当てた、より広範な攻撃フレームワークの存在を示唆するものでした。

• ビーコントラフィックを正規の Web リクエストに見せかけるよう設計された Cobalt Strike プロファイル
• 直接接続を使用する代わりに、Telegram のインフラストラクチャを介して通信をルーティングする、Telegram ボットの API ベースの外部コマンドアンドコントロール (C2) メカニズム
• 元の機能を維持したまま、正規の Windows 実行ファイルにシェルコードを注入するための Python ベースのマルウェア開発スクリプト
• 実際のバックエンド C2 サーバーを隠蔽するために、フロントエンドのリダイレクターとして機能する Cloudflare Worker

AI で生成されたツール

デバイス上で見つかった複数の Python スクリプト (その多くはロシア語で記述されていました) は、一部が AI によって生成されたものでした。さらに調査を進めると、2 つのコンポーネントで構成されるツールやスクリプトのフレームワークを含んだ Git リポジトリが発見されました。その 2 つとは、自動化された Active Directory (AD) 探索パネルと、ソフォス、CrowdStrike、および Windows Defender の EDR エージェントに対してマルウェアの開発・テストを反復的に行うラボ環境です。AD パネルの活動は自動化された AI 主導の機能に酷似していましたが、自律的に推論を行う大規模言語モデル (LLM) によるものではありません。その代わりに、この自動化された AD 探索は、完了済みタスクから観測データを収集し、事前定義された一連のアクションから次の分岐を選択し、リモートエージェントに作業を割り当て、結果が返されたタイミングで再評価を行うという手順で実行されていました。

分析の結果、マルウェア開発における AI の利用はより限定的であり、主にワークフローの調整や実験のサポートに使用されていました。実際の EDR 回避プロセスは、人間によるレビューと反復を含む、構造化されたエンジニアリングテストサイクルでした。

攻撃者は、自身のデバイス上で Ludus からプロビジョニングされた仮想マシンシステムを使用していました。また、EDR エージェントを回避するためのツール開発を支援する目的で、Cursor という名前の AI ネイティブ統合開発環境 (IDE) を悪用していました。その開発プロセスには、マルウェアの作成、テスト、分析、および改良が含まれていました (図 1 を参照)。

F図 1: マルウェア開発ワークフローにおける AI の役割

特定されたテスト環境 (表向きはレッドチームのフレームワークとして構築されたもの) において、攻撃者は Windows Server 2022 を実行する複数の仮想マシン (VM) を設定していました。1 つの VM はソフォスエージェントを回避するツールをテストし、2 つ目は CrowdStrike エージェント用、3 つ目は EDR エージェントがインストールされていない制御環境でした。Ubuntu のあるバージョンを実行していた 4 つ目の VM は、Sliver ポストエクスプロイトフレームワークの C2 サーバーでした。 

攻撃者は、フレームワーク内で動作する複数の AI エージェントのパラメータを設定し、それぞれの役割と機能を定義していました。Claude Opus 4.5 を使用する 1 つのエージェントが、主な運用と他のエージェントに対するルール設定を担当していました。別のエージェントは、EDR エージェントに対するツールのテストを行っていました。残りのエージェントは、オペレーショナルセキュリティ (OPSEC) の強化、ドキュメントの作成、プロキシの負荷テスト、および VM の展開などのサポート機能を提供していました。エージェントによって生成されたコードのエラーやコミットは、AI アシスタントが外部のツールやデータソースと接続できるようにするオープン標準である Model Context Protocol (MCP) を介して Git に送信されていました。

AI がオーケストレーションする活動

Git リポジトリ内のアーティファクトから判断すると、攻撃者は Kaspersky、Palo Alto Networks、および Bishop Fox などの企業が公開した調査ブログから、潜在的な回避手法を特定していました。X (旧 Twitter) や Telegram からも情報が収集されていましたが、これらの情報源がツール開発に影響を与えたかどうかは不明です。テストフレームワークを構築するための AI エージェントオーケストレーションプレイブックには、SpecterOps のブログからスクレイピングされた調査結果が参照されていました。SpecterOps は、レッドチームなどの攻撃シミュレーションサービスを提供している企業です。このプレイブックによると、AI エージェントには、記事の読解、手法の抽出、MITRE ATT&CK 手法へのマッピング、既存のリポジトリに基づいて手法を再現するために必要な手順とツールの特定、ラボテスト環境の準備、手法の実行、そして結果の報告というタスクが課されていました (図 2 を参照)。

図 2: AI エージェントに対する記事の取り込みと手法マッピングの手順

このフレームワークの核となるのは、テスト用のペイロード (その多くは Rust と Go で記述されていました) を生成する Python で書かれたツールです。このモジュール型 Windows ペイロードローダー生成ツールは、元のペイロードを暗号化、回避、および代替実行手法のレイヤーでラップすることで、サンドボックス、ウイルス対策、および EDR による検知機能に対抗することを目的としたカスタムの実行ファイルまたは DLL を生成します。各ペイロードは、コマンドラインで指定された回避手法に基づいて生成されます。このツールを使用して、70 以上の異なる手法をテストする約 80 種類のモジュールが開発されました。エージェントによって報告された初期の調査結果は高い失敗率を示していましたが、さまざまな変更を加えた結果、これらのモジュールは EDR エージェントの回避にほぼ例外なく成功したと報告されています。しかし、テストフレームワークから文書化された記録は、必ずしもこの結論を裏付けるものではありません。この不一致の原因は不明です。テストプラットフォームに統合されたツールとモジュールの一覧を 図 3 に示します。

図 3: テストフレームワークに統合されたツール

正規の開発環境と同様に、攻撃者はソフトウェアの作成、テスト、パフォーマンス評価、およびバージョン管理を支援する目的で Cursor と Claude Opus のエージェントを使用していました。これらのツールは、表向きはレッドチームフレームワークを作成するために使用されていましたが、マルウェア開発に関する Claude のガードレールを回避するために攻撃者がこの用語を使用した可能性が高いと考えられます。実際には、このフレームワークは標的の環境を侵害した後のステルス活動のために構築されたものでした。ソフォスの Counter Threat Unit™ (CTU) の研究チームは、この開発活動を既知のランサムウェア展開およびデータ窃取に関連付けています。

推奨事項と保護機能

ツール開発の加速や検知回避手法のテストにAI エージェントを利用することによって、高度なレッドチーム型攻撃への参入障壁は下がります。しかし、この変化によって防御側が取るべき対策が変わるわけではありません。攻撃者はコントロールフレームワークのあらゆる隙間を狙ってくることから、CTU™ の研究者は防御側の組織に対し、引き続き強固な多層防御を維持することを推奨しています。AI を活用することで、こうした隙間をより簡単かつ迅速に特定することができます。なお、タイムリーなパッチ適用、多要素認証 (MFA)、パスキーなどの最新の認証メカニズム、および効果的な EDR ソリューションの広範な導入など、基本対策も依然として極めて重要です。 

この脅威に関連するソフォスの保護機能の一覧を表 1 に示します。

表 1: この脅威に対するソフォスの保護機能

謝辞

この活動に関する分析と知見を提供してくれた Colin Cowie と Jordan Olness、および SophosLabs の本記事への貢献に謝意を表します。