Home / サイバー犯罪 / PassiveNeuronキャンペーン、政府・金融機関のSQLサーバーを狙う高度攻撃

PassiveNeuronキャンペーン、政府・金融機関のSQLサーバーを狙う高度攻撃

2025年10月31日

出典: Securelist – https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

PassiveNeuronキャンペーン:政府機関および金融機関を狙う高度なサイバー攻撃の全貌

2024年に発見された「PassiveNeuron」キャンペーンは、政府機関や金融機関のMicrosoft SQLサーバーを標的とした高度なサイバースパイ活動です。複雑な多段階のマルウェアと難読化技術を駆使し、アジア、アフリカ、ラテンアメリカの組織に甚大な影響を及ぼしています。

主要なポイント

  • 長期にわたる活動と再発:2024年6月に一度拡散が阻止されましたが、同年12月以降再び感染が確認され、2025年8月まで継続しています。
  • 標的と攻撃手法:政府、金融、産業組織を対象に、Microsoft SQLサーバーの脆弱性やSQLインジェクション、管理者アカウントの不正利用を通じて侵入を試みています。
  • 高度なマルウェアと難読化:Neursite(C++製バックドア)、NeuralExecutor(.NET製インプラント)、Cobalt Strikeフレームワークを組み合わせ、多段階のDLLローダーチェーンやジャンクデータ膨張による検知回避を行っています。
  • 標的限定の実行制御:ネットワークアダプターのMACアドレスをハッシュ化し、特定のMACアドレス以外では動作を停止することで、サンドボックスや無関係な環境での解析を回避しています。
  • 国家支援の可能性:複雑な技術とAPTグループとの関連が示唆されており、国家レベルの支援を受けた攻撃の可能性が高いと考えられています。

技術的な詳細と背景情報

PassiveNeuronキャンペーンは、Microsoft SQLサーバーの脆弱性を悪用し、リモートコマンド実行権限を獲得することから始まります。攻撃者はASPXウェブシェルの展開を試みましたが、Kasperskyのセキュリティ製品により阻止されました。その後、Base64や16進数エンコード、PowerShellやVBSスクリプトを駆使し、複数回にわたってウェブシェル展開を試みています。

マルウェアは主に3種類で構成されており、NeursiteはC++で書かれたカスタムバックドア、NeuralExecutorは.NETで開発されConfuserExによる難読化が施されたインプラント、そしてCobalt Strikeフレームワークが使用されています。これらは複数段階のDLLローダーチェーンを用い、WindowsのSystem32フォルダ内に正規のDLL名を偽装したファイルを配置し、Phantom DLL Hijackingという技術で永続化を確保しています。

特筆すべきは、DLLファイルが100MB以上と異常に大きく、ジャンクデータで膨張されている点です。これにより、従来のファイルサイズベースの検知を回避しています。また、ローダーはネットワークアダプターのMACアドレスをハッシュ化し、特定のMACアドレスと一致しない場合は即座に終了するため、標的限定の実行が可能です。

通信面では、NeursiteはTCP、SSL、HTTP、HTTPSと多様なC2(Command and Control)通信プロトコルをサポートし、プラグイン機能でシェルコマンドの実行やファイル操作、TCPソケットの操作を行います。NeuralExecutorは名前付きパイプやWebSocketも利用し、追加の.NETペイロードを受信・実行可能です。

さらに、2025年のサンプルではGitHubリポジトリを利用したDead Drop Resolver技術によりC2アドレスを取得しており、この手法は中国語圏のAPTグループ(APT31やAPT27)でよく見られます。Cisco Talosの報告と一致するPDBパスを持つDLLファイルも発見され、APT41との関連も示唆されていますが、確証は得られていません。

影響と重要性

PassiveNeuronキャンペーンは、政府機関や金融機関、産業組織を中心に、アジア、アフリカ、ラテンアメリカの広範な地域で影響を及ぼしています。これらの組織は国家の安全保障や経済に直結するため、攻撃の成功は深刻な情報漏洩や業務妨害を引き起こす恐れがあります。

また、攻撃の高度な技術と標的限定の実行制御は、単なる犯罪者グループによるものではなく、国家支援を受けたAPT(Advanced Persistent Threat:高度持続的脅威)グループによるものと推測されます。これにより、被害組織は長期間にわたる監視や情報収集のリスクにさらされることになります。

まとめ

PassiveNeuronキャンペーンは、Microsoft SQLサーバーの脆弱性を悪用した高度なサイバースパイ活動であり、複雑な多段階マルウェアと難読化技術を駆使して標的組織に長期間潜伏しています。特に政府機関や金融機関が対象であり、国家レベルの支援を受けた可能性が高いことから、対策の強化が急務です。

推奨される対策としては、SQLサーバーの脆弱性管理、SQLインジェクション対策、管理者アカウントの強化、多要素認証の導入、ウェブシェルや不審なDLLの検知・ブロック、MACアドレスに基づく異常監視、C2通信の監視と遮断が挙げられます。これらを総合的に実施することで、PassiveNeuronのような高度な攻撃から組織を守ることが可能です。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です