PassiveNeuronキャンペーン、政府や金融機関のWindowsサーバーを標的に攻撃継続

出典: Securelist – https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

PassiveNeuronキャンペーン：著名組織のサーバーを標的とした高度な攻撃活動の最新動向

2024年に発見された「PassiveNeuron」キャンペーンは、政府機関や金融機関のWindowsサーバーを狙う高度なサイバー諜報活動です。未知のカスタムマルウェア「Neursite」や「NeuralExecutor」を用い、長期間にわたり巧妙な手口で侵害を続けています。本記事では、最新の調査結果をもとに攻撃の技術的詳細や影響、そして防御策について解説します。

主要なポイント

• SQLサーバーを経由した初期侵入：攻撃者はMicrosoft SQLサーバーの脆弱性や認証情報を悪用し、リモートでコマンド実行権限を獲得。ウェブシェルの展開を試みるも、セキュリティ製品によって阻止されるケースが多い。
• 多段階のカスタムインプラント：「Neursite」「NeuralExecutor」など複数の独自マルウェアをDLLローダーチェーンで展開。大容量ファイルやMACアドレスチェックで検出回避や標的限定を実現。
• 高度なC2通信技術：TCP、HTTP/HTTPS、SSL、プロキシ経由通信に加え、GitHubを利用したDead Drop Resolver技術も確認。これにより通信の秘匿性と柔軟性を高めている。
• 帰属の難しさと中国語圏アクターの可能性：ロシア語文字列の偽旗やCisco Talos報告のDLLとの関連もあるが、戦術・技術・手順（TTP）は中国語圏の脅威アクターに類似している。
• 標的型攻撃の特徴：MACアドレスによる起動制御や特定時間帯の活動制限など、標的組織を厳密に絞り込む設計がなされている。

技術的な詳細や背景情報

PassiveNeuronキャンペーンは、Windows Server環境を中心に標的を絞り、特にMicrosoft SQLサーバーの脆弱性や認証情報を悪用して初期侵入を行います。攻撃者はリモートでコマンドを実行し、Base64や16進数エンコードされたウェブシェルをPowerShellやVBSスクリプトで展開しようと試みますが、カスペルスキー製品などの防御により多くの試みが阻止されています。

その後、攻撃者は複数段階のDLLローダーチェーンを用いてカスタムインプラントを展開。System32ディレクトリに配置された巨大なDLLファイルは、Phantom DLL Hijacking技術により永続化され、起動時に自動的に読み込まれます。これらのDLLはMACアドレスのハッシュ値を用いて標的マシンを判別し、標的外の環境やサンドボックスでの動作を防止します。

最終的なペイロードであるNeursiteバックドアは、TCPやHTTP/HTTPSを含む多様なプロトコルでC2サーバーと通信し、システム情報収集やプロキシ通信による横展開を可能にします。一方、NeuralExecutorは.NETベースでConfuserEx難読化が施されており、ネットワーク経由で追加の.NETペイロードを受信・実行可能です。

さらに、2025年のサンプルではGitHubリポジトリを利用したDead Drop Resolver技術が確認されており、設定情報を秘匿しつつC2サーバーのアドレスを取得しています。この手法は中国語圏のAPTグループで多用されていることから、帰属調査の重要な手がかりとなっています。

影響や重要性

PassiveNeuronキャンペーンは、政府や金融機関などの重要インフラを標的とし、サーバーの乗っ取りや情報窃取を狙う高度な攻撃です。特にインターネットに公開されたWindowsサーバーが侵入口となるため、これらの防御は国家レベルの安全保障にも直結します。

攻撃者は標的を厳密に限定し、検出回避や難読化技術を駆使しているため、感染の早期発見と対応が困難です。SQLインジェクションやウェブシェルの防御を強化し、サーバーアプリケーションの監視体制を整えることが急務です。また、攻撃の帰属が難しいことから、誤った判断による対策の遅れを防ぐためにも、TTPに基づく総合的な分析が求められます。

まとめ

PassiveNeuronキャンペーンは、カスタムマルウェアと多段階の侵入手法を組み合わせ、政府や金融機関のWindowsサーバーを狙う高度な標的型攻撃です。SQLサーバーの脆弱性を突いた初期侵入から、複雑なDLLローダーチェーンによる永続化、そして多様なC2通信技術による秘匿性の確保まで、攻撃者の技術力は非常に高いと言えます。

防御側は、攻撃の特徴を理解し、SQLインジェクション対策やウェブシェル検出の強化、サーバーアプリケーションの継続的な監視を徹底する必要があります。また、帰属の難しさを踏まえ、TTPに基づく分析を重視し、誤った情報に惑わされない慎重な対応が求められます。

侵害の指標（IoC）

• PassiveNeuron関連ローダーファイルのハッシュ値
  • 12ec42446db8039e2a2d8c22d7fd2946
  • 406db41215f7d333db2f2c9d60c3958b
  • 44a64331ec1c937a8385dfeeee6678fd
  • 8dcf258f66fa0cec1e4a800fa1f6c2a2
  • d587724ade76218aa58c78523f6fa14e
  • f806083c919e49aca3f301d082815b30
• 悪意あるDLLファイル
  • imjp14k.dll（ハッシュ：751f47a688ae075bba11cf0235f4f6ee）

これらの情報を活用し、組織内のセキュリティ対策を強化してください。