Home / セキュリティ対策 / PassiveNeuronキャンペーンが明かす政府機関サーバーへの高度な攻撃手法

PassiveNeuronキャンペーンが明かす政府機関サーバーへの高度な攻撃手法

2025年10月31日

出典: Securelist – https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

PassiveNeuronキャンペーンが明らかにした政府機関サーバーへの高度な攻撃手法

2024年に発見されたサイバースパイキャンペーン「PassiveNeuron」は、アジア、アフリカ、ラテンアメリカの政府機関や金融、産業組織を標的にした高度な攻撃手法を用いています。本記事では、このキャンペーンの特徴や技術的な詳細、そして影響と対策について解説します。

主要なポイント

  • 複雑な多段階攻撃:PassiveNeuronはMicrosoft SQLサーバーの脆弱性を突き、リモートコマンド実行を初期感染経路としました。攻撃者はBase64や16進数でエンコードされたASPXウェブシェルの展開を試みましたが、Kaspersky製品により阻止され失敗。その後、NeursiteやNeuralExecutor、Cobalt Strikeといった高度なマルウェアを用いて感染を拡大しました。
  • 巧妙な永続化と検知回避:マルウェアは複数段階のDLLローダーチェーンを利用し、System32フォルダに大容量の偽装DLL(100MB以上)を配置して自動起動を実現。さらに、MACアドレスのハッシュチェックで標的マシンを限定し、サンドボックス環境での実行を回避するなど、高度な検知回避技術を駆使しています。
  • 多様な通信プロトコルと拡張性:NeursiteはTCP、SSL、HTTP/HTTPSでC2(コマンド&コントロール)サーバーと通信し、プラグインによる機能拡張が可能です。NeuralExecutorは.NETベースで難読化されており、追加の.NETペイロードをネットワーク経由で受信・実行できます。
  • 攻撃者の手掛かりと誤誘導:2024年のNeuralExecutorにはロシア語の文字列「Супер обфускатор」が含まれていましたが、これは誤誘導の可能性が高いとされています。一方、2025年にはGitHub上のファイルを利用したDead Drop Resolver技術が確認され、中国語圏のAPT31やAPT27に類似した特徴も見られます。
  • 関連APTグループの可能性:Cisco Talosの報告やPDBパスを持つDLLの発見から、APT41との関連も示唆されていますが、現時点では確証はありません。

技術的な詳細や背景情報

PassiveNeuronの初期感染は、Microsoft SQLサーバーの脆弱性やSQLインジェクション、管理者アカウントの不正取得などが考えられます。攻撃者はBase64や16進数でエンコードされたASPXウェブシェルをPowerShellやVBSスクリプトと組み合わせて展開しようとしましたが、セキュリティ製品により阻止されました。

その後、複数段階のDLLローダーチェーンを用いて感染を深めます。具体的には、第一段階のDLLが第二段階のDLLを読み込み、さらにBase64およびAES暗号化された第三段階ローダーを展開。第四段階のシェルコードローダーを経て、最終的にカスタム実行形式のPEファイル(Windowsの実行ファイル)が展開されます。

NeursiteはC++で開発されたバックドアで、TCPやSSL、HTTP/HTTPSを使ってC2サーバーと通信し、シェルコマンドの実行やファイル操作、TCPソケットの操作が可能です。一方、NeuralExecutorは.NETベースでConfuserExという難読化ツールを用いており、名前付きパイプやWebSocket通信もサポート。これにより、追加の.NETアセンブリをネットワーク経由で受信し実行できます。

影響や重要性

このキャンペーンは、アジア、アフリカ、ラテンアメリカの政府機関や金融、産業組織のWindows Serverを搭載したサーバーを主な標的としています。標的型攻撃であるため、MACアドレスのハッシュチェックによって実行環境を厳密に制御し、無関係な環境での検知を回避しています。

攻撃者は高度な難読化技術や多段階ローダーを駆使し、検知回避と持続的なアクセスを実現しているため、被害組織にとっては深刻な脅威です。また、GitHubなどの外部リポジトリを利用したC2通信は、従来の通信パターンとは異なり検出が難しい点も問題視されています。

まとめ

PassiveNeuronキャンペーンは、高度なマルウェア技術と巧妙な検知回避手法を組み合わせた標的型攻撃の典型例です。Microsoft SQLサーバーの脆弱性を突く初期感染から、多段階のDLLローダーチェーンによる永続化、複数の通信プロトコルを使ったC2通信まで、幅広い攻撃技術が確認されています。

被害を防ぐためには、SQLサーバーの脆弱性管理やアクセス制御の強化、SQLインジェクション対策、強固なパスワード管理、そして最新のセキュリティソリューションの導入が不可欠です。また、異常なDLLファイルのサイズや配置、ネットワーク通信の監視も重要な防御策となります。

攻撃者の誤誘導や複数のAPTグループの可能性も示唆されており、継続的な監視と分析が求められます。最新の情報をもとに適切な対策を講じ、組織の重要資産を守りましょう。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です