B
今週中
AI(CursorやClaude Opus)を活用して開発された、EDR回避およびActive Directory探索を自動化するランサムウェアツールキット
📌 一言でいうと
AI(CursorやClaude Opus)を活用して開発された、EDR回避およびActive Directory探索を自動化するランサムウェアツールキットが確認されました。攻撃者はAIを用いてコード作成やセキュリティ研究の分析を行い、Sophos、CrowdStrike、Microsoftなどの主要なEDR製品を回避する手法をテストしています。ただし、AIは補助的に利用されており、ワークフロー全体は人間によって制御されていると分析されています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
- WindowsのActive Directory(ドメインコントローラー)を社内で運用している
- Sophos、CrowdStrike、Microsoft Defender for Endpointのいずれかを導入している
- Cobalt Strikeなどのペネトレーションテストツールを社内で利用している
- 社内PCのC:\Users\User\Documents\test フォルダに不審なファイルが存在しないか確認する必要がある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
EDRの検知設定を最新に保ち、不審なディレクトリ(C:\Users\User\Documents\test等)へのファイル書き込みや、Cobalt Strike等のビーコン通信に類似した不自然なトラフィックを監視してください。