OpenAIは、いくつかの北朝鮮のハッキンググループが、将来のターゲットを調査し、そのネットワークに侵入する方法を見つけるために、ChatGPTプラットフォームを使用することをブロックしたと発表した。
「我々は、公に報告された朝鮮民主主義人民共和国(DPRK)関連の脅威行為者と関連する可能性のある活動を示すアカウントを禁止しました。
「これらのアカウントの一部は、VELVET CHOLLIMA(別名Kimsuky、Emerald Sleet)として知られる脅威グループと一致するTTPを含む活動を行い、他のアカウントは、STARDUST CHOLLIMA(別名APT38、Sapphire Sleet)に関連していると信頼できる情報源によって評価された行為者と潜在的に関連していました。
現在禁止されているアカウントは、業界のパートナーからの情報を使用して検出された。脅威行為者は、サイバー攻撃中に使用するツールの調査に加え、ChatGPTを使用して暗号通貨関連のトピックに関する情報を探していました。
また、悪意のある行為者は、オープンソースのリモート管理ツール(RAT)の使用方法に関するヘルプを含むコーディング支援や、リモートデスクトッププロトコル(RDP)の総当たり攻撃に使用できるオープンソースおよび一般公開されているセキュリティツールやコードのデバッグ、調査、開発支援にもChatGPTを使用していました。
OpenAIの脅威アナリストはまた、自動起動拡張ポイント(ASEP)の場所とmacOSの攻撃テクニックをデバッグしている間に、北朝鮮の行為者が当時セキュリティベンダーが知らなかった悪意のあるバイナリのステージングURLを明らかにしたことを発見しました。
これらのステージングURLと関連するコンパイル済み実行ファイルは、より広範なセキュリティ・コミュニティとの共有を促進するために、オンライン・スキャン・サービスに提出されました。その結果、一部のベンダーはこれらのバイナリを確実に検出できるようになり、潜在的な被害者を将来の攻撃から守ることができるようになりました。
OpenAIが、北朝鮮の脅威行為者が禁止されたアカウントをどのような方法で使用したかを調査している間に発見したその他の悪質な行為には、以下のようなものがありますが、これらに限定されるものではありません:
- 様々なアプリケーションの脆弱性について尋ねる
- C# ベースの RDP クライアントを開発し、トラブルシューティングを行う、
- 無許可のRDPに対するセキュリティ警告を回避するコードを要求、
- RDP 接続、ファイルのアップロード/ダウンロード、メモリからのコード実行、HTML コンテンツの難読化のための多数の PowerShell スクリプトの要求、
- 難読化されたペイロードの作成と実行のためのデプロイについて説明、
- 暗号通貨投資家やトレーダーに対する標的型フィッシングやソーシャル・エンジニアリング、およびより一般的なフィッシング・コンテンツを実行する方法を模索します、
- フィッシングメールや通知を作成し、ユーザーを操作して機密情報を開示させる。
同社はまた、潜在的な北朝鮮IT労働者スキームに関連するアカウントを禁止した。これは、西側企業を騙して北朝鮮人を雇用させることで、平壌政権の収入を得ようとする取り組みの特徴をすべて備えていると説明された。
「雇用を得るように見せかけた後、彼らは私たちのモデルを使って、コードを書いたり、トラブルシューティングをしたり、同僚とメッセージを送ったりといった仕事に関連するタスクを実行した。「彼らはまた、ビデオ通話を避けたり、未承認の国から企業のシステムにアクセスしたり、不規則な時間帯に働いたりといった異常な行動を説明するために、我々のモデルを使って偽装工作を行った。
前回のレポートを発表した2024年10月以降、OpenAIは中国から発信された “Peer Review “と “Sponsored Discontent “という2つのキャンペーンも検知し、阻止しました。これらのキャンペーンは、ChatGPTモデルを使用して、監視活動に関連するツールを研究・開発し、反米的なスペイン語の記事を生成していました。
10月の報告書でOpenAIは、2024年の初めから、イランと中国の国家支援ハッカーに関連したサイバー作戦と秘密影響力作戦に関連した20以上のキャンペーンを妨害したことを明らかにした。
Comments