原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations
PassiveNeuronキャンペーン:政府機関および金融機関のWindowsサーバーを狙う高度な攻撃の継続
2024年に発見された「PassiveNeuron」キャンペーンは、政府機関や金融機関を中心にWindowsサーバーを標的とした高度なサイバー諜報活動です。特にアジア、アフリカ、ラテンアメリカの組織が狙われており、多段階のマルウェアと巧妙な攻撃手法が確認されています。
主要なポイント
- 長期にわたる攻撃活動:2024年6月に検出された後、一時的に活動が沈静化しましたが、12月以降に再び感染波が発生し、複数地域の政府・金融・産業組織を標的にしています。
- 初期侵入手法:Microsoft SQLサーバーの脆弱性やSQLインジェクション、管理者アカウントの不正取得を通じて侵入を試みている可能性が高いです。
- 高度なマルウェア展開:ASPXウェブシェルの展開を阻止された後、NeursiteやNeuralExecutor、Cobalt Strikeなどの高度なマルウェアを用いて攻撃を継続しています。
- 標的限定型攻撃:ネットワークアダプターのMACアドレスをハッシュ化し、特定のMACアドレスと一致しない場合はマルウェアが終了する仕組みを採用しています。
- 多様な難読化・回避技術:VMProtectやConfuserExによる難読化、DLLのサイズ膨張、プロセスインジェクションなど、検知回避のための複数の技術が使われています。
技術的な詳細や背景情報
PassiveNeuronキャンペーンは主にWindows Server環境を狙い、DLLローダーチェーンを利用してマルウェアを展開します。攻撃者はシステムディレクトリ(例:C:\Windows\System32\wlbsctrl.dll)に不審なDLLを配置し、Phantom DLL Hijackingという技術で永続化を実現しています。この手法は、正規のDLLファイルを偽装し、システム起動時に悪意あるコードを読み込ませるものです。
また、DLLファイルは100MB以上の不要データで膨張させることで、シグネチャベースの検知を回避しています。ローダーはネットワークアダプターのMACアドレスをハッシュ化し、特定のMACアドレスと一致しない場合は自己終了するため、標的限定型の攻撃が可能となっています。
マルウェアの中核となる「Neursite」はC++で開発されたモジュラー型バックドアで、TCP、SSL、HTTP/HTTPSを使ったコマンド&コントロール(C2)通信を行い、多様なコマンド実行やプラグインによる機能拡張が可能です。一方、「NeuralExecutor」は.NETベースで、ConfuserExによる難読化が施されており、TCP、HTTP/HTTPS、名前付きパイプ、WebSocket通信をサポートし、追加の.NETペイロードを受信・実行できます。
影響や重要性
このキャンペーンは、アジア、アフリカ、ラテンアメリカの政府機関や金融機関、産業組織のWindows Server環境を標的にしており、重要インフラや機密情報の窃取リスクを高めています。標的限定型の攻撃であるため、特定組織に対する狙い撃ちが疑われ、国家レベルのサイバー諜報活動の一環と考えられます。
さらに、攻撃に使われるツールや手法には複数のAPT(高度持続的脅威)グループの特徴が混在しており、攻撃者の背後に複数の勢力が存在する可能性も示唆されています。これにより、防御側は多様な攻撃手法に対応する必要があり、従来の対策だけでは不十分となる恐れがあります。
まとめ
PassiveNeuronキャンペーンは、Windowsサーバーを標的にした高度で持続的なサイバー攻撃であり、特に政府機関や金融機関に深刻な影響を及ぼす可能性があります。攻撃者は複数の難読化技術や標的限定型の侵入手法を駆使し、検知を回避しながら侵害を継続しています。
対策としては、Microsoft SQLサーバーの脆弱性管理やSQLインジェクション対策の強化、管理者アカウントの厳重な保護、ウェブシェル展開の阻止、システムディレクトリの不審DLL監視、MACアドレスによる不正動作検知、そして多段階ローダーやプロセスインジェクションを検知可能な高度なEDRツールの導入が推奨されます。
今後もこのような高度な標的型攻撃に対しては、最新の脅威情報の収集と迅速な対応が不可欠です。
