Home / セキュリティ / PassiveNeuron:政府・金融機関のサーバーを狙う高度なAPT攻撃キャンペーン

PassiveNeuron:政府・金融機関のサーバーを狙う高度なAPT攻撃キャンペーン

2025年10月30日

出典: Securelist – https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

PassiveNeuron:政府機関および金融機関を狙う高度なAPT攻撃キャンペーンの全貌

2024年に発見された「PassiveNeuron」キャンペーンは、政府機関や金融機関のサーバーを標的とした高度なサイバースパイ活動です。特にMicrosoft SQLサーバーの脆弱性を突き、複雑なマルウェアと多彩な回避技術を駆使して長期間にわたり侵害を継続している点が特徴的です。

主要なポイント

  • 長期にわたる感染波と拡散:2024年6月に一度拡散を阻止されたものの、同年12月以降に再び感染が拡大。アジア、アフリカ、ラテンアメリカの政府、金融、産業組織が新たな標的となっています。
  • 多様な侵入手法の活用:Microsoft SQLサーバーの脆弱性やSQLインジェクション、管理者アカウントの不正取得を用いた初期侵入が確認されています。
  • 高度なマルウェアと回避技術:ASPXウェブシェルの展開を試みるも阻止され、さらに複数のエンコード手法やスクリプトで検知回避を図り、最終的にはNeursite、NeuralExecutor、Cobalt Strikeといった高度なマルウェアを使用。
  • 標的限定の巧妙な仕組み:ネットワークアダプターのMACアドレスをハッシュ化し、特定のMACアドレス以外では動作を停止する仕組みを導入。これによりサンドボックス解析を困難にしています。
  • APTグループとの関連性:Cisco Talosの報告やPDBパスの解析から、APT41との関連が示唆されていますが、確定はしていません。

技術的な詳細や背景情報

PassiveNeuron攻撃は主にWindows Server上のMicrosoft SQLサーバーを標的とし、リモートでコマンド実行権限を獲得します。攻撃者はDLLローダーチェーンを利用し、System32フォルダ内の正規DLL名を偽装したファイルを配置する「Phantom DLL Hijacking」と呼ばれる技術で永続化を図っています。これらのDLLファイルは100MB以上に人工的に膨らませられ、検知回避を狙っています。

起動時にはネットワークアダプターのMACアドレスをハッシュ化し、特定のMACアドレスと一致しなければ動作を停止するため、サンドボックス環境や解析環境での動作を回避します。マルチステージローダー構造を持ち、最終的にカスタム実行形式のPEファイルをロードします。

使用されるマルウェアは以下の通りです:

  • Neursite: C++製のモジュラーバックドアで、TCP、SSL、HTTP、HTTPSプロトコルを用いてC2(コマンド&コントロール)通信を行います。
  • NeuralExecutor: .NETベースでConfuserExによる難読化が施されており、TCP、HTTP、HTTPS、名前付きパイプ、WebSocketなど多様な通信手段を持ち、追加の.NETペイロードを受信可能です。
  • Cobalt Strike: 攻撃者に広く利用されるペネトレーションテストツールであり、攻撃の最後の段階で侵害を拡大・維持するために使われています。

さらに、2025年のサンプルではGitHub上のファイルからC2情報を取得する「Dead Drop Resolver」技術が確認されており、中国語圏のAPTグループに多く見られる手法です。NeuralExecutorのコード内にロシア語の文字列「Супер обфускатор(スーパー難読化器)」が含まれているものの、誤誘導の可能性が高いとされています。

影響や重要性

PassiveNeuronキャンペーンは、政府機関、金融機関、産業組織を中心にアジア、アフリカ、ラテンアメリカの広範囲に影響を及ぼしています。特に重要なインフラや機密情報を扱う組織が標的となっているため、国家安全保障や経済安全保障に深刻なリスクをもたらします。

攻撃者がMACアドレスによる動作制御を行うなど、標的を限定した高度な攻撃であることから、一般的なマルウェア感染とは異なり、特定の組織や環境に対して精密に狙いを定めている点が注目されます。また、複数のマルウェアや難読化技術、通信プロトコルを組み合わせることで検知回避能力が非常に高く、従来の防御策だけでは対応が難しい状況です。

まとめ

PassiveNeuronは高度な技術と巧妙な戦術を駆使したAPT攻撃キャンペーンであり、特にMicrosoft SQLサーバーの脆弱性を突く手法が特徴的です。標的限定のMACアドレスチェックや多段階のマルウェア展開、難読化技術により検知と解析が困難となっています。

対策としては、SQLサーバーの脆弱性管理やSQLインジェクション対策、管理者アカウントの強化、多要素認証の導入が必須です。加えて、Kasperskyなどの高度なセキュリティ製品の導入、DLLハイジャック対策、ネットワークアダプターの異常監視、エンコードされた不審ファイルの検出、定期的なログ監査と異常通信の検知体制強化が求められます。

政府機関や金融機関など重要インフラを担う組織は、PassiveNeuronのような高度なAPT攻撃に対して常に警戒を怠らず、最新の情報と技術を用いた多層的な防御体制を構築することが不可欠です。

security-user

Related Posts

Google、「Chrome 142」でV8関連はじめ脆弱性20件を修正
2025年11月4日
不正アクセス受け情報漏えいの可能性│株式会社がんばる舎
2025年11月4日
メメントラボのスパイウェア「ダンテ」を用いた新たな標的型攻撃キャンペーン「フォーラムトロール」検出
2025年11月2日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です