Home / サイバー犯罪 / PassiveNeuronキャンペーンが政府・金融・産業サーバーを標的に攻撃継続

PassiveNeuronキャンペーンが政府・金融・産業サーバーを標的に攻撃継続

2025年10月31日

出典: Securelist – https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

PassiveNeuronキャンペーン:政府・金融・産業サーバーを狙う高度なサイバースパイ活動

2024年に発見された「PassiveNeuron」は、政府機関や金融機関、産業組織のWindowsサーバーを標的とした複雑なサイバースパイキャンペーンです。攻撃者は多段階のマルウェアや高度な検出回避技術を駆使し、長期間にわたり感染を拡大させています。

主要なポイント

  • 攻撃の再開と拡大:2024年6月に一度拡散を防止されたものの、同年12月以降、アジア、アフリカ、ラテンアメリカの政府・金融・産業組織を対象に新たな感染波が発生し、2025年8月まで継続。
  • 標的と手法:主にWindows Server上のSQLサーバーを狙い、SQLソフトウェアの脆弱性を悪用。リモートコマンド実行権限を獲得後、ASPXウェブシェルの展開を試みるが、Kaspersky製品により阻止される。
  • 高度なマルウェア展開:ウェブシェル展開失敗後は、Neursite、NeuralExecutor、Cobalt Strikeといった多段階のマルウェアインプラントを使用。DLLローダーチェーンやPhantom DLL Hijacking技術で持続性を確保。
  • 検出回避技術:100MB以上に膨張させたDLLファイルやMACアドレスのハッシュチェックによる標的限定、難読化技術(ConfuserEx)を用いてサンドボックス環境での解析を困難にしている。
  • 攻撃者の背景:GitHubを利用したDead Drop Resolver技術やDLLのPDBパスから、中国語圏のAPTグループ、特にAPT41との関連が示唆されているが、確証はない。

技術的な詳細と背景情報

PassiveNeuronキャンペーンは、SQLサーバーの脆弱性を悪用し、SQLインジェクションや管理者アカウントの不正取得を通じて侵入します。攻撃者はまずASPX形式のウェブシェルを展開しようと試みますが、Kaspersky製品の検知により阻止されました。

その後、NeursiteやNeuralExecutorなどの高度なマルウェアインプラントを多段階のDLLローダーチェーンで展開。これらはWindowsのSystem32フォルダに配置され、svchost.exeやmsdtc.exeなどの正規プロセスに読み込まれます。特にPhantom DLL Hijacking技術を使い、自動起動と持続性を実現しています。

また、DLLファイルはジャンクデータを追加して100MB以上に膨張させることで、シグネチャベースの検出を回避。MACアドレスのハッシュ値をチェックして標的マシンを限定し、サンドボックス環境での解析を防止しています。

NeursiteはTCP、SSL、HTTP、HTTPSと複数の通信プロトコルを用いてC2(コマンド&コントロール)サーバーと通信し、多様なコマンドやプラグイン機能を備えています。NeuralExecutorは.NETベースで、ConfuserExによる難読化が施されており、追加の.NETペイロードを受信・実行可能です。

さらに、攻撃者はGitHub上のファイルからC2情報を取得するDead Drop Resolver技術を使用。これは中国語圏のAPTグループに特徴的な手法であり、攻撃者の背景調査に重要な手がかりとなっています。

影響と重要性

PassiveNeuronキャンペーンは、アジア、アフリカ、ラテンアメリカの政府機関、金融機関、産業組織のWindows Serverを中心に感染を広げています。標的は限定的であるものの、特定の機密情報収集やスパイ活動を目的としていると推測されます。

この攻撃は、高度な検出回避技術や多段階のマルウェア展開により、従来のセキュリティ対策では検知が困難です。特に、DLLファイルの膨張やMACアドレスによる標的限定、難読化技術の活用は、サンドボックス解析やシグネチャベース検出を回避するための巧妙な手法です。

また、GitHubを利用したC2情報の取得は、攻撃者がオープンソースプラットフォームを悪用している点で注目されます。これにより、攻撃の追跡や防御が一層難しくなっています。

まとめと推奨対策

PassiveNeuronキャンペーンは、SQLサーバーの脆弱性を突き、多様なマルウェアと高度な技術で標的組織に長期間潜伏する高度なサイバースパイ活動です。被害を防ぐためには以下の対策が重要です。

  • SQLサーバーの脆弱性管理と最新パッチの適用を徹底する。
  • SQLインジェクション対策を含むアプリケーションのセキュリティ強化。
  • 管理者アカウントの強力なパスワード運用とアクセス制御の実施。
  • Kaspersky製品などのエンドポイントセキュリティ導入によるウェブシェル展開やDLLハイジャックの検知・阻止。
  • ネットワーク監視による異常通信や不審なDLL読み込みの早期発見。
  • 多層防御体制とインシデント対応能力の整備。

攻撃者は検出回避や標的限定のために高度な技術を駆使しており、今後も手法の進化が予想されます。組織は最新の脅威情報を常に把握し、継続的な対策強化を図ることが求められます。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です