2025年7月24日、Aqua Securityのリサーチチーム「Nautilus」は、Linuxシステムを標的とした新型マルウェア「Koske」を発見しました。
このマルウェアは、AIの支援を受けて開発された痕跡があり、表向きは無害なJPEG画像(パンダの写真)を使って攻撃を仕掛けるという巧妙な手法をとっています。
攻撃フローと特徴
初期の侵入は、JupyterLabの誤設定を悪用し、外部から侵入を図ります。
攻撃者は、パンダの画像を装った「ポリグロットファイル(複数形式に解釈可能なファイル)」をダウンロードさせ、その末尾に隠されたシェルスクリプトやCコードを直接メモリ上で実行します。
Cコードは.soファイルとしてコンパイル・実行され、rootkitとして動作。
最後に実行可能なシェルコードが入った画像ファイル
一方、シェルスクリプトはcronジョブやsystemdサービスを使って永続性を確保し、ネットワーク設定を操作して外部通信の妨害も回避します。
ステルス性と永続性
Koskeは以下の手法でシステムへの痕跡を最小限に抑えています
.bashrcや/etc/rc.localの書き換え- systemdサービス
shellkoske.serviceの作成 /dev/shm内のPID隠蔽LD_PRELOADを用いたreaddir()関数のフックによるプロセスやファイルの不可視化
さらに、GitHubの Slovak系アカウントからダウンロードした暗号資産マイナー(ccminerなど)を使用して、最大18種類の仮想通貨をマイニング可能です。
AI的手法と今後の脅威
Koskeはコメントや構造が整っており、AIモデルによって生成された可能性が示唆されています。実行環境に応じて通信設定を動的に変更し、適切なプロキシを選択するなど、高度な自己診断機能も備えています。
このようなAI支援型マルウェアは、従来のセキュリティ対策では検知・対応が困難であり、今後の脅威として深刻な警鐘を鳴らしています。
防御策と推奨対策
Aqua Securityは以下の対応を推奨しています:
.bashrcやcron、systemd設定の監視- 不審なDNS再設定や外部プロセス通信の制御
- 実行時セキュリティ(runtime security)の導入
- ポリグロットファイルの検知とブロック
- AI生成コード特有の構造やコメントスタイルの検知
Koskeは、AIとマルウェアの融合がもたらす新時代のサイバー脅威の代表例となり得ます。今後、さらに高度なAI駆動型マルウェアが登場する中で、企業や組織には振る舞いベースの監視やコンテキスト認識型の防御体制が求められます。
参照
https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/
関連記事
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
Unityの脆弱性が世界中のゲーマーとゲーム開発者に影響(CVE-2025-59489)
VSCodeで約900万回ダウンロードされていた拡張機能に悪意のあるコードが含まれていた
Oracle、Oracle Cloudへのサイバー攻撃による情報漏洩を再度否定、「無関係な旧式サーバー2台への不正アクセスのみ」
Googleへ不正アクセス、Gmail アカウント 情報の最大25億人分が漏洩の可能性-パスワード変更を推奨
VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)
Google、定例パッチでAndroidのゼロデイを含む111件の脆弱性を修正
アメリカの納税シーズンを利用したフィッシング詐欺 キャンペーンの考察と注意喚起
ランサムウェア グループ Qilin(キリン、キーリン)とは手口・国内被害一覧・対策【随時更新】
