PassiveNeuron:著名な組織のサーバーを標的とした高度な攻撃キャンペーン
2024年に発見された「PassiveNeuron」キャンペーンは、政府機関や金融、産業組織のサーバーを狙った高度なサイバースパイ活動です。本記事では、この攻撃の特徴や技術的な詳細、影響、そして対策について解説します。
主要なポイント
- 長期にわたる活動と再拡散
2024年6月に一度拡散が阻止されたものの、12月以降に再び感染が確認され、2025年8月まで継続しています。対象はアジア、アフリカ、ラテンアメリカの政府や金融、産業組織です。 - 多様な侵入手法の利用
攻撃者はMicrosoft SQLサーバーの脆弱性、SQLインジェクション、管理者アカウントの不正取得などを組み合わせて初期侵入を行い、ASPXウェブシェル設置を試みましたが、Kaspersky製品により阻止されました。 - 高度なマルウェアと難読化技術
「Neursite」(C++製モジュラー型バックドア)や「NeuralExecutor」(.NET製インプラント)、商用ツール「Cobalt Strike」を使用。DLLの偽装やPhantom DLL Hijacking、VMProtectによる難読化など複雑な技術で検出を回避しています。 - 標的限定型の動作
起動時にネットワークアダプターのMACアドレスをハッシュ化し、特定のMACアドレスと一致しなければ動作を停止する仕組みで、標的を限定した攻撃を実現しています。 - 複数APTグループの関与の可能性
コード内のロシア語文字列やGitHubを利用したC2情報取得方法、特定のDLLのPDBパスなどから、APT31、APT27、APT41など複数の高度持続的脅威(APT)グループの関与が示唆されています。
技術的な詳細や背景情報
PassiveNeuronキャンペーンで使用されるマルウェアは、複数の段階に分かれたローダー構造を持ち、最終的なペイロードを実行します。NeursiteはC++で開発されたモジュラー型バックドアで、TCP、SSL、HTTP、HTTPSなど多様な通信プロトコルを使い、C2(コマンド&コントロール)サーバーとの通信にHTTPプロキシやカスタムHTTPヘッダーを利用可能です。
また、NeuralExecutorは.NETで作成され、ConfuserExによる難読化が施されています。TCP、HTTP/HTTPS、名前付きパイプ、WebSocketなど多彩な通信手段を持ち、追加の.NETペイロードを受信して実行できます。これにより、攻撃者は柔軟に遠隔操作や情報収集を行います。
さらに、マルウェアはSystem32フォルダ内の正規DLL名を偽装し、Phantom DLL Hijackingと呼ばれる技術で永続化を図っています。DLLファイルは100MB以上に人工的に膨らませられており、これも検出回避の一環です。起動時にMACアドレスをハッシュ化して特定の環境でのみ動作するよう制御することで、標的限定型攻撃を実現しています。
影響や重要性
PassiveNeuronは政府機関や金融機関、産業組織のWindows Serverを搭載したサーバーを標的にしており、国家レベルの情報収集や産業スパイ活動の一環と考えられます。特にアジア、アフリカ、ラテンアメリカの組織が狙われていることから、これら地域の重要インフラや政策決定に影響を及ぼす可能性があります。
また、複数のAPTグループの関与が示唆されている点から、攻撃の背後に複雑な国際的なサイバー諜報活動が存在すると推測されます。高度な難読化技術や多段階ローダーの利用は、検出や対策を困難にし、被害の拡大を招く恐れがあります。
まとめ
PassiveNeuronキャンペーンは、政府や金融、産業分野の重要なサーバーを狙った高度かつ持続的なサイバースパイ活動です。SQLサーバーの脆弱性や管理者アカウントの不正取得を利用し、複雑なマルウェアと難読化技術で検出を回避しています。標的限定型の動作や多様な通信手段を駆使し、複数のAPTグループの関与が疑われる点も注目されます。
対策としては、SQLインジェクション対策や管理者アカウントの強化、多層的なセキュリティ製品の導入、DLLハイジャックの監視、不審なエンコードファイルの検知技術の強化が求められます。特に標的型攻撃に対しては、継続的な監視と迅速な対応が重要です。
