Home / 脆弱性 / PassiveNeuronキャンペーンが政府・金融・産業サーバーを狙う高度な攻撃手法を解明

PassiveNeuronキャンペーンが政府・金融・産業サーバーを狙う高度な攻撃手法を解明

2025年10月30日

出典: Securelist – https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

PassiveNeuronキャンペーン:政府・金融・産業サーバーを狙う高度サイバースパイ活動の全貌

2024年に発見された「PassiveNeuron」は、アジア、アフリカ、ラテンアメリカの政府機関や金融機関、産業用サーバーを標的とした高度なサイバースパイキャンペーンです。本記事では、その攻撃手法や技術的特徴、影響、そして対策について詳しく解説します。

主要なポイント

  • 長期にわたる活動と感染波:2024年6月に一度拡散を防止したものの、同年12月から2025年8月まで新たな感染波が確認されました。
  • 標的は特定地域の政府・金融・産業組織:主にアジア、アフリカ、ラテンアメリカのWindows Server環境を狙い、特定のMACアドレスに基づく標的型攻撃を実施。
  • Microsoft SQLサーバーの脆弱性を悪用:SQLインジェクションや管理者アカウントの不正取得により初期侵入を果たし、リモートコマンド実行権限を獲得。
  • 多層的なマルウェアインプラントの使用:「Neursite」「NeuralExecutor」というカスタムインプラントと「Cobalt Strike」フレームワークを組み合わせ、多段階のDLLローダーチェーンで永続化と検知回避を実現。
  • 高度な検知回避技術:正規DLL名の偽装(Phantom DLL Hijacking)、巨大化されたDLLファイル、MACアドレスによる標的限定、通信の多様化などを駆使。

技術的な詳細と背景

PassiveNeuronの攻撃は、まずMicrosoft SQLサーバーの脆弱性を突くことで初期アクセスを確保します。SQLインジェクションとは、悪意あるSQLコードを入力欄などに挿入し、データベースを不正操作する攻撃手法です。また、管理者アカウントの不正取得も行われており、これによりリモートからコマンドを実行可能となります。

初期侵入後、攻撃者はWebシェル(サーバー上でコマンドを実行できるスクリプト)を展開しようとしましたが、Kaspersky製品により阻止されました。代わりに、C++製のモジュラーバックドア「Neursite」と.NET製の「NeuralExecutor」、さらに商用ツール「Cobalt Strike」を用いた多層的なマルウェア展開に切り替えています。

これらのインプラントは、WindowsのSystem32フォルダ内に正規DLL名を偽装して配置される「Phantom DLL Hijacking」手法を用い、システム起動時に不正コードを読み込ませて永続化を実現。さらに、DLLファイルは100MB以上に膨張させることで、アンチウイルスの検知を回避しています。

また、ローダーはネットワークアダプタのMACアドレスをハッシュ化し、特定のMACアドレスと一致しない場合は動作を停止する仕様で、標的を限定した攻撃を可能にしています。通信はTCP、SSL、HTTP、HTTPSを駆使し、プロキシやHTTPヘッダーの偽装、稼働時間制限など多彩な設定が施されています。

Neursiteはシステム情報の収集、プロセス管理、プロキシ経由の横展開、プラグインによるコマンド実行やファイル操作など多機能を備えています。一方、NeuralExecutorは難読化ツール「ConfuserEx」で保護され、名前付きパイプやWebSocket通信も可能で、追加の.NETペイロードを受信・実行できる高度なインプラントです。

影響と重要性

PassiveNeuronキャンペーンは、特定地域の重要インフラや政府機関、金融機関を狙った高度な標的型攻撃であり、国家レベルのサイバースパイ活動と推測されます。特に、標的をMACアドレスで限定する手法は、無差別な攻撃ではなく特定組織を狙い撃ちにする証拠です。

また、GitHubなどの外部リポジトリを利用したC2情報の取得や、ロシア語の難読化文字列の誤誘導、中国語圏APTグループに類似した技術の使用など、多国籍かつ複雑な攻撃者の痕跡も確認されています。これにより、サイバー攻撃のグローバル化と高度化が改めて浮き彫りとなりました。

推奨される対策

  • Microsoft SQLサーバーの脆弱性を速やかに修正し、最新のセキュリティパッチを適用する。
  • SQLインジェクション対策として、入力値の検証やパラメータ化クエリの使用を徹底する。
  • 管理者アカウントのパスワード強化と多要素認証の導入。
  • Webシェル検知機能を備えたセキュリティ製品の導入と運用。
  • Phantom DLL Hijackingを含むDLLの不審な挙動を監視し、不正DLLの検査を強化する。
  • ネットワークアダプタのMACアドレスに基づく異常検知システムの構築。
  • 多段階ローダーやシェルコードの挙動監視、C2通信の異常検知を実施する。
  • GitHubなど外部リポジトリを利用した通信の監視と制限。

まとめ

PassiveNeuronキャンペーンは、複数のカスタムマルウェアと商用ツールを組み合わせた高度な標的型サイバースパイ活動です。Microsoft SQLサーバーの脆弱性を突き、Webシェル展開の失敗を乗り越え、多層的なインプラントで永続化と検知回避を実現しています。標的をMACアドレスで限定するなど、攻撃の精度も非常に高いことが特徴です。

このような高度攻撃に対抗するためには、脆弱性管理の徹底、最新のセキュリティ対策の導入、そして異常検知体制の強化が不可欠です。組織はPassiveNeuronの手口を理解し、適切な防御策を講じることで被害の拡大を防ぐ必要があります。

タグ付け処理あり:
security-user

Related Posts

ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発関与
2025年11月5日
オーククリフのカード詐欺団を率いるネイサン・マイケルの犯罪手口
2025年11月5日
英国の詐欺スパム業者に20万ポンドの罰金、借金者狙い約100万通送信
2025年11月4日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です