原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations
PassiveNeuronキャンペーンが明らかにした政府系サーバーを標的とする高度なSQLインジェクション攻撃手法
2024年に発見された「PassiveNeuron」と名付けられたサイバースパイ活動キャンペーンは、アジア、アフリカ、ラテンアメリカの政府や金融機関を狙った高度なSQLインジェクション攻撃を特徴としています。本記事では、その技術的な詳細や影響、そして対策について解説します。
主要なポイント
- 複雑な攻撃キャンペーンの発見と活動期間:PassiveNeuronは2024年に発見され、6月に一度拡散阻止されたものの、12月以降再び感染波が観測され、2025年8月まで継続しています。
- 標的と感染経路:主にアジア、アフリカ、ラテンアメリカの政府、金融、産業組織が対象で、Microsoft SQLサーバーのリモートコマンド実行を初期感染経路としています。
- 高度なマルウェアインプラントの使用:攻撃者はWebシェル展開に失敗した後、C++製の「Neursite」や.NET製の「NeuralExecutor」、さらにCobalt Strikeフレームワークを用いて侵害を継続しました。
- 巧妙な検知回避技術:偽装DLLの配置やPhantom DLL Hijacking、ファイルサイズの膨張、MACアドレスによる動作制御など、多層的な検知回避策が用いられています。
- 攻撃者の背景と関連性:コード内のロシア語文字列やGitHubを利用したC2情報の取得方法、APTグループとの関連性が示唆されていますが、確証はありません。
技術的な詳細や背景情報
PassiveNeuronキャンペーンはWindows Server上のMicrosoft SQLサーバーを標的に、SQLインジェクションや脆弱性の悪用、管理者アカウントの不正取得を通じて侵入します。初期段階では、Base64や16進数エンコードされたPowerShellやVBSスクリプトを用いてWebシェルを展開しようとしましたが、Kaspersky製品により阻止されました。
その後、攻撃者は「Neursite」と呼ばれるC++製のモジュラー型バックドアや、.NET製の「NeuralExecutor」を展開。これらはDLLローダーチェーンを介してSystem32フォルダ内に偽装DLLを配置し、Phantom DLL Hijacking技術で自動起動を実現しています。特にDLLファイルは100MB以上に人工的に膨らませられ、検出を回避しています。
さらに、起動時にネットワークアダプタのMACアドレスをハッシュ化し、特定のMACアドレスと一致しない場合は動作を停止することで、標的限定とサンドボックス環境での検知回避を行っています。NeursiteはTCP、SSL、HTTP、HTTPSでC2サーバーと通信し、システム情報の取得やプロセス管理、横展開を可能にします。一方、NeuralExecutorはConfuserExで難読化され、複数の通信プロトコルを用いて追加ペイロードを受信・実行します。
影響や重要性
このキャンペーンは政府機関や金融機関、産業組織を標的とし、特にアジア、アフリカ、ラテンアメリカの重要インフラに対するサイバースパイ活動のリスクを浮き彫りにしました。高度な多段階ローダーや検知回避技術により、従来のセキュリティ対策では検出が困難であることが示されています。
また、攻撃者がGitHubリポジトリを利用したDead Drop Resolver技術を用いるなど、最新の攻撃手法を取り入れている点も注目されます。これらの技術は中国語圏のAPTグループでよく見られる手法であり、攻撃者の多国籍かつ高度な技術力を示唆しています。
まとめ
PassiveNeuronキャンペーンは、SQLインジェクションを起点とした高度なサイバースパイ活動であり、多層的なマルウェア展開と巧妙な検知回避技術を特徴としています。標的は主に政府や金融機関であり、地理的にも広範囲に及びます。
対策としては、SQLサーバーの脆弱性管理と適切なパッチ適用、強力な認証管理、エンドポイントセキュリティ製品によるWebシェル検知、システムディレクトリ内の不審DLL監視、MACアドレスによる異常動作チェック、そして多段階ローダーに対応した高度な検知技術の導入が不可欠です。
今後もこのような高度な攻撃に対抗するためには、最新の脅威情報の収集と迅速な対応が求められます。
