Home / マルウェア / PassiveNeuronキャンペーンが政府・金融・産業サーバーを標的に再拡大

PassiveNeuronキャンペーンが政府・金融・産業サーバーを標的に再拡大

2025年10月30日

出典: Securelist – https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

PassiveNeuronキャンペーンが政府機関、金融機関、産業用サーバーを標的に再び拡大

2024年に発見された高度なサイバースパイ活動「PassiveNeuron」キャンペーンが、2024年12月以降に再び感染波を拡大し、2025年8月まで継続しています。主にアジア、アフリカ、ラテンアメリカの政府機関や金融機関、産業用サーバーを狙った攻撃であり、Microsoft SQL Serverの脆弱性を悪用した初期侵入が特徴です。

主要なポイント

  • 再拡大するPassiveNeuronキャンペーン:2024年6月に一度拡散を防止したものの、12月以降に新たな感染波が発生し、2025年8月まで続いています。
  • 標的と攻撃手法:政府機関、金融機関、産業組織を対象に、Microsoft SQL Serverの脆弱性やSQLインジェクションを利用して初期侵入を試みています。
  • 多様なマルウェアと永続化技術:Neursite、NeuralExecutor、Cobalt Strikeの3種類のマルウェアが確認され、DLLハイジャック技術(Phantom DLL Hijacking)でSystem32フォルダに偽装DLLを配置し永続化を確保しています。
  • 高度なターゲティングと解析回避:MACアドレスのハッシュ値によるターゲット限定チェックや多段階のローダーチェーン、難読化技術を駆使し、標的外環境やサンドボックスでの解析を回避しています。
  • APTグループとの関連性:GitHubを利用したC2サーバー情報の取得技術やPDBパスの一致から、中国語圏のAPTグループ(APT31、APT27)やAPT41との関連が示唆されています。

技術的な詳細や背景情報

PassiveNeuronキャンペーンの初期侵入は、Microsoft SQL Serverの既知の脆弱性やSQLインジェクション、管理者アカウントの不正取得が疑われています。攻撃者はBase64や16進数でエンコードされたASPXウェブシェルをPowerShellやVBSスクリプトでデコードし展開しようとしましたが、Kaspersky製品により阻止されました。

また、DLLハイジャック(Phantom DLL Hijacking)技術を利用し、System32フォルダ内に100MBを超える大容量の偽装DLLを配置。これにより、Windowsの正規プロセス(svchost.exeやmsdtc.exe)に偽DLLをロードさせて永続化を実現しています。MACアドレスのハッシュ値をチェックすることで、標的組織以外やサンドボックス環境での動作を回避し、解析困難にしています。

マルウェアのうちNeursiteはC++製のバックドアで、TCP、SSL、HTTP、HTTPSといった複数の通信プロトコルを用いてC2(コマンド&コントロール)サーバーと通信し、プラグインによる機能拡張も可能です。NeuralExecutorは.NETベースで、ConfuserExによる難読化が施されており、追加の.NETペイロードを実行できます。2025年版ではGitHub上のファイルからC2アドレスを取得するDead Drop Resolver技術を採用し、中国語圏APTグループの手法と一致しています。

影響や重要性

このキャンペーンは、政府機関や金融機関、産業組織の重要なインフラを標的としているため、国家安全保障や経済活動に深刻な影響を及ぼす可能性があります。特にWindows Server上のMicrosoft SQL Serverが主な侵入ポイントであることから、多くの組織が潜在的なリスクにさらされています。

また、攻撃者が高度な永続化技術や難読化、多段階ローダーを駆使しているため、検知や対策が困難であり、被害の拡大を防ぐためには迅速かつ包括的なセキュリティ対策が必要です。さらに、GitHubなどの正規の外部リポジトリを悪用したC2通信は、従来の通信監視だけでは検出が難しい新たな脅威を示しています。

まとめ

PassiveNeuronキャンペーンは、2024年に発見されて以降、政府機関や金融機関、産業用サーバーを狙った高度なサイバースパイ活動として再び拡大しています。Microsoft SQL Serverの脆弱性を悪用した初期侵入、多様なマルウェアインプラント、DLLハイジャックによる永続化、MACアドレスによるターゲット限定など、複数の高度な技術が組み合わさっています。

被害を防ぐためには、SQL Serverの脆弱性管理やパッチ適用、SQLインジェクション対策、強力な管理者パスワードの設定、Kasperskyなどのセキュリティ製品の導入と最新化、System32フォルダの不審DLL監視、ネットワーク監視による異常検知が重要です。さらに、GitHubなど外部リポジトリを利用した不正通信の監視や、多段階ローダー・難読化技術に対応した高度なマルウェア検出技術の導入も推奨されます。

攻撃者は標的限定や解析回避のために巧妙な手法を用いているため、単一の対策だけでなく多層的な防御体制の構築が不可欠です。言語情報だけでの攻撃者帰属は誤誘導の可能性があるため注意が必要であり、APTグループの関与も複数が示唆されていることから、継続的な監視と情報共有が求められます。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です