原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations
PassiveNeuronキャンペーン:政府機関、金融機関、産業用サーバーを標的とした高度なAPT攻撃の全貌
2024年に発見された高度なサイバースパイキャンペーン「PassiveNeuron」は、アジア、アフリカ、ラテンアメリカの政府機関や金融機関、産業用サーバーを標的にした複雑なAPT攻撃です。本記事では、攻撃の特徴や技術的詳細、影響、そして対策について解説します。
主要なポイント
- 長期にわたる活動と感染波の再燃:2024年6月に一度拡散阻止されたものの、同年12月以降に新たな感染波が発生し、2025年8月まで継続しています。
- 攻撃対象と手法の高度化:政府、金融、産業組織のWindows Server上のMicrosoft SQLサーバーを狙い、リモートコマンド実行権限を獲得。Webシェル展開に失敗した後は、より高度なマルウェアインプラントを使用して侵害を続行。
- 多様なマルウェアインプラントの使用:「Neursite」(C++製バックドア)、「NeuralExecutor」(.NET製インプラント)、および「Cobalt Strike」フレームワークを駆使し、多段階ローダー構造と難読化技術で検知を回避。
- 標的限定の巧妙な技術:MACアドレスのハッシュチェックで特定マシンのみを攻撃対象とし、サンドボックス環境での解析を防止。さらに、DLLファイルを100MB以上に膨張させるなど検知回避策を講じています。
- 攻撃者の背景と関連性:ロシア語の難読化文字列やGitHubを利用したC2情報取得技術、Cisco TalosがAPT41に関連付けるDLLの使用など、多国籍APTグループの関与が示唆されています。
技術的な詳細や背景情報
PassiveNeuronキャンペーンは、SQLサーバーの侵害において脆弱性悪用やSQLインジェクション、管理者アカウントの不正取得が考えられています。攻撃者はWebシェルの展開を試みるも失敗し、代わりにSystem32フォルダ内の正規DLL名を偽装した多段階DLLローダーチェーンを使用。これにより、svchost.exeやmsdtc.exeなどの正規プロセスにマルウェアをロードし、永続化を実現しています。
NeursiteはTCP、SSL、HTTP、HTTPSといった多様な通信プロトコルを用いてC2(コマンド&コントロール)サーバーと通信し、プラグインによる機能拡張も可能です。一方、NeuralExecutorは.NET製でConfuserExによる難読化が施され、TCPや名前付きパイプ、WebSocketなど複数の通信手段を持ち、追加ペイロードの受信・実行が可能です。
特に注目すべきは、2025年のNeuralExecutorがGitHub上のファイルから暗号化されたC2情報を取得する「Dead Drop Resolver」技術を使用している点です。この手法は中国語圏のAPTグループに多く見られ、攻撃者の多国籍性や複雑な背景を示唆しています。
影響や重要性
PassiveNeuronキャンペーンは、政府機関や金融機関、産業組織の重要なインフラを標的とし、特にWindows Server上のSQLサーバーに対して高度な侵入と持続的な制御を確立しています。標的をMACアドレス単位で限定することで、狙い撃ち型の攻撃を実現し、被害の拡大を防ぐ一方で、特定組織に対して深刻な情報漏洩や業務妨害のリスクをもたらします。
また、難読化や多段階ローダー、GitHubを利用したC2通信など、最新の回避技術を駆使しているため、従来の検知手法では発見が困難です。これにより、被害の早期発見や対応が遅れる可能性が高く、サイバーセキュリティの重要性が一層増しています。
まとめ
PassiveNeuronキャンペーンは、複雑かつ高度な技術を用いて特定地域の政府・金融・産業組織を狙うAPT攻撃です。SQLサーバーの脆弱性を突き、Webシェル展開の失敗後も多段階DLLローダーや高度なマルウェアインプラントで侵害を継続。MACアドレスによる標的限定やGitHubを活用したC2通信など、巧妙な技術が用いられています。
対策としては、SQLサーバーの脆弱性管理、Webシェル展開の阻止、不審DLLの監視、異常なC2通信の検出、そしてサンドボックス環境を考慮した解析技術の導入が不可欠です。攻撃の背景には複数のAPTグループの関与が示唆されており、継続的な監視と高度な防御策が求められます。
今後も最新の攻撃手法に対応できる体制を整え、重要インフラの安全確保に努めることが重要です。
