Home / サイバー犯罪 / PassiveNeuron:政府・金融・産業サーバーを狙う高度APT攻撃の全貌

PassiveNeuron:政府・金融・産業サーバーを狙う高度APT攻撃の全貌

2025年11月2日

出典: Securelist – https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

PassiveNeuron:政府・金融・産業サーバーを標的とする高度なAPT攻撃の全貌

導入部

2024年に発覚した「PassiveNeuron」は、政府機関や金融、産業分野のサーバーを狙う高度なAPT(持続的標的型攻撃)キャンペーンです。独自のカスタムインプラントを駆使し、複雑かつ巧妙な手口で長期間にわたり標的組織を侵害してきました。

本記事では、PassiveNeuronの攻撃手法、技術的な詳細、影響、そして攻撃者の帰属に関する最新の調査結果を解説します。

主要なポイント

  • SQLサーバーの悪用による初期侵入:攻撃者はWindows Server上のMicrosoft SQLソフトウェアを悪用し、リモートコマンド実行権限を獲得。SQLインジェクションや脆弱性の悪用、アカウントのブルートフォース攻撃など複数の手法が考えられます。
  • 高度なウェブシェル展開の試みと防御:Base64や16進エンコードを用いたウェブシェルの設置を繰り返すも、カスペルスキー製品によって阻止され、攻撃者はより複雑なインプラント展開へと移行しました。
  • 多段階のカスタムインプラントによる侵害の持続化:「Neursite」「NeuralExecutor」および「Cobalt Strike」フレームワークを組み合わせた多層的な攻撃で、DLLローダーチェーンやPhantom DLL Hijacking技術を駆使し、標的マシンに永続化と難読化を施しています。
  • 標的絞り込みのためのMACアドレスチェック:ローダーはネットワークアダプターのMACアドレスをハッシュ化し、特定の値と照合。これにより、意図した被害者環境でのみペイロードを起動し、サンドボックス解析を回避しています。
  • 帰属調査の難航と中国語圏アクターの可能性:ロシア語文字列の偽旗やGitHubを利用したDead Drop Resolver技術の採用など、複雑な手法が見られますが、TTP(戦術・技術・手順)からは中国語圏の脅威アクターの関与が示唆されています。

技術的な詳細や背景情報

PassiveNeuronは、複数段階のDLLローダーチェーンを用いて攻撃を展開します。第一段階のDLLはWindowsのシステムディレクトリ(例:C:\Windows\System32\wlbsctrl.dllなど)に配置され、Phantom DLL Hijacking技術により起動時に自動的に読み込まれます。これにより永続化が確保されるとともに、ジャンクデータを付加してファイルサイズを膨らませることで検出回避を図っています。

起動時にはMACアドレスの32ビットハッシュ値をチェックし、標的環境でのみ動作するよう制御。第二段階以降はAES暗号化されたBase64データを復号し、最終的にはカスタム実行形式に変換されたPEファイルをロードします。これにより、攻撃者は柔軟かつ隠密にマルウェアを展開可能です。

NeursiteバックドアはC2(コマンド&コントロール)通信にTCP、SSL、HTTP/HTTPSを利用し、曜日や時間帯で活動制限を設けるなど高度な制御を実装。さらに、プラグイン機能によりシェルコマンド実行やファイル操作、TCPソケット通信を行います。

NeuralExecutorは.NETベースでConfuserExによる難読化を施し、TCP、HTTP/HTTPS、名前付きパイプ、WebSocketなど多様な通信手段を持ちます。追加の.NETアセンブリをネットワーク経由で受信・実行可能で、攻撃の柔軟性を高めています。

影響や重要性

PassiveNeuronキャンペーンは、政府、金融、産業分野の重要サーバーを標的とし、情報収集やシステム制御を目的とした高度な攻撃です。特にインターネットに公開されたサーバーが侵入経路となるため、これらのサーバーの防御強化が急務です。

SQLサーバーの脆弱性を悪用した初期アクセス獲得やウェブシェルの展開試行は、サーバー管理者にとって重要な警鐘です。また、多段階の難読化・永続化技術は検知を困難にし、被害の拡大や長期化を招きます。

さらに、帰属調査の難しさは、攻撃者の偽装工作や多様な手法の採用によるものであり、サイバー防御における情報共有や分析の重要性を示しています。

まとめ

PassiveNeuronは、高度な技術と巧妙な手口を用いて政府や金融、産業のサーバーを狙うAPT攻撃キャンペーンです。SQLサーバーの脆弱性を突いた初期侵入、複雑なDLLローダーチェーンによる永続化、MACアドレスによる標的絞り込みなど、多層的な防御回避策を備えています。

攻撃者の帰属は難しいものの、TTPからは中国語圏の脅威アクターの関与が示唆されており、今後も継続的な監視と対策が求められます。特にサーバーの攻撃対象領域を最小化し、SQLインジェクション対策やウェブシェル防御を強化することが重要です。

組織は早期検知のためにログ監視やセキュリティ製品の導入を徹底し、PassiveNeuronのような高度な脅威に備える必要があります。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です