### AIによるソーシャルエンジニアリング **Microsoft Defender Experts**と**Microsoft Defender Security Research Team**は、攻撃者がAIチャットボットを使用して、CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack、PDFgearなどの正規のシステムユーティリティになりすまして悪意のあるソフトウェアを宣伝していることを明らかにしました。このキャンペーンは、高パフォーマンスGPUを搭載したシステムを侵害し、マイニング収益を最大化することを目的としています。 ### 持続的なアクセスとデータ窃盗 攻撃者は金銭的利益のみに焦点を当てているわけではありません。彼らは**ScreenConnect**の展開を通じて持続的なリモートアクセスを確立し、データ窃盗、ラテラルムーブメント、またはランサムウェア攻撃につながる可能性があります。 ### 攻撃チェーンの詳細 攻撃は、ユーザーが信頼できるユーティリティを検索し、SEOポイズニングによってブーストされた悪意のあるサイトに誘導されることから始まります。最近では、AIチャットボットのやり取りを通じて、ユーザーはこれらのサイトに誘導されています。 「これらのケースでは、ソフトウェアダウンロードの推奨事項についてAIチャットボットに問い合わせたユーザーは、生成された応答内に攻撃者が制御するドメインへのリンクを提示されました」と**Microsoft**は述べています。 これらのサイトは、動的DNSプロバイダーである**Dynu**によってホストされているgleeze[.]comのサブドメインからZIPアーカイブを取得するダウンロードボタンをホストしています。このプロバイダーは悪意のあるアクターによって頻繁に使用されます。150以上の悪意のあるドメインが特定されています。  ### マルウェアのインストールと永続化 ダウンロードされたZIPには、正規の実行可能ファイルと、悪意のあるDLL（"autorun.dll"）が含まれており、これは"msiexec.exe"を使用して2番目のDLL"vcredist_x64.dll"をインストールします。このファイルは**ScreenConnect**のパッケージ化されたインストーラーです。 インストールされると、**ScreenConnect**は攻撃者が制御するサーバーに接続しようとします。その後、**ScreenConnect**セッションは"SimpleRunPE.exe"という実行可能ファイルを配信します。 このバイナリは、レジストリのRunキーとスケジュールされたタスクを通じて永続性を確立し、**Microsoft Defender**の除外を設定し、アンチ分析チェックを実行し、プロセスホローイングを使用して正規の**Microsoft**署名付きバイナリの下でマイニングコードを起動します。 一部の侵害では、**PowerShell**スクリプトを使用してリモートドライブからバイナリを取得し、検出を回避するために"vlc.exe"として保存し、それを起動するためのスケジュールされたタスクを作成してから、自身を削除します。 ### マイニング操作 ホローされたバイナリは攻撃者のサーバーと通信し、ホスト情報を送信し、マイナーアーカイブをダウンロードして実行します。このマルウェアはgminer、lolMiner、SRBMiner-MULTIをサポートしています。 バイナリは永続化アーティファクトを再作成し、削除された場合は**Defender**の除外を再設定します。実行中のプロセスを監視し、**Windows Task Manager**、Process Hacker、Process Explorer、またはSystem Informerを検出した場合、マイナーを終了します。 ### Microsoftの広範なセキュリティ警告 この開示は、攻撃者がインターネットに公開されている**F5 BIG-IP**ファイアウォールアプライアンスを侵害し、内部Linuxホストにピボットし、インターネットに公開されているエッジアプライアンスを初期アクセスに悪用したという**Microsoft**の警告に続くものです。 攻撃者はLinuxホストを使用して、脆弱な**Atlassian Confluence**サーバーにラテラルムーブメントを行いました。彼らは**Pythonのftplibモジュール**を使用してFTPサーバーをセットアップし、カスタムスキャンツールを転送して、**Windows**インフラストラクチャに対する認証用の認証情報を取得し、その後Kerberosリレー攻撃と**CVE-2025-33073**の悪用を行いました。  「このインシデントでは、攻撃者は特権アカウントを使用してSSH経由でLinuxサーバーに認証しました。攻撃者は、明示的な永続化メカニズムを確立することなく、観測されたアクティビティ全体でこのレベルのアクセスを維持しており、sudo権限を持つ過剰な特権を持つIDがもたらすリスクを強調しています。」 今月初め、**Microsoft**は、攻撃者が侵害されたサードパーティITサービスプロバイダーを介して、信頼された運用関係と認証プロセスを悪用した別の侵入を強調しました。 **Microsoft**は、防御者に対して、慎重な検証の姿勢を採用し、環境内のベンダーの行動を検証することを推奨しています。