Home / セキュリティ対策 / PassiveNeuronキャンペーン、政府・金融機関のWindowsサーバーを標的に新たな攻撃波を確認

PassiveNeuronキャンペーン、政府・金融機関のWindowsサーバーを標的に新たな攻撃波を確認

2025年10月31日

出典: Securelist – https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

PassiveNeuronキャンペーン、新たな攻撃波を確認—政府機関および金融機関のWindowsサーバーを標的に

2024年に発見された高度なサイバースパイ活動「PassiveNeuron」キャンペーンが、2024年12月以降再び活発化し、アジア、アフリカ、ラテンアメリカの政府機関や金融機関のWindowsサーバーを標的にしています。本記事では、この攻撃の特徴や技術的詳細、影響、そして対策について詳しく解説します。

主要なポイント

  • 攻撃の再活性化:2024年6月に一度感染拡大が阻止されたPassiveNeuronキャンペーンは、約6か月の沈黙期間を経て2024年12月から2025年8月まで新たな感染波が確認されました。
  • 標的と攻撃手法:アジア、アフリカ、ラテンアメリカの政府、金融、産業組織のWindowsサーバーが標的。Microsoft SQLサーバーの脆弱性やSQLインジェクション、管理者アカウントの不正取得を利用して初期侵入を試みています。
  • 高度なマルウェア使用:攻撃者はASPXウェブシェルの展開を試みましたが阻止され、その後Neursite、NeuralExecutor、Cobalt Strikeといった高度なマルウェアを用いて攻撃を継続しています。
  • 検知回避技術:DLLファイルを100MB以上に膨らませる、MACアドレスのハッシュ化による動作制限、多段階ローダーチェーン、難読化技術(VMProtect、ConfuserEx)など、多様な検知回避策が用いられています。
  • 標的型攻撃の特徴:特定のMACアドレスを持つマシンに限定して攻撃が行われており、非常に狙いを絞った標的型攻撃であることが示唆されています。

技術的な詳細や背景情報

PassiveNeuronキャンペーンは主にWindows Server上のMicrosoft SQLサーバーを狙います。初期侵入後、攻撃者はSystem32フォルダ内にDLLローダーを配置し、Phantom DLL Hijackingという技術を使って自動起動と永続化を実現します。これは正規のシステムプロセスが悪意あるDLLを読み込むことでマルウェアを実行させる手法です。

さらに、DLLファイルは100MB以上に人工的にサイズを膨らませ、アンチウイルスの検知を回避しようとしています。ローダーはネットワークアダプターのMACアドレスをハッシュ化し、特定のMACアドレス以外の環境では動作を停止することで、解析者が用いるサンドボックス環境での動作を防いでいます。

攻撃の最終段階では、C++製のモジュラー型バックドア「Neursite」や.NETベースの「NeuralExecutor」、そしてペネトレーションテストツールとして悪用される「Cobalt Strike」を用いて、コマンド&コントロール(C2)通信を行い、多様な攻撃活動を実施します。NeuralExecutorはConfuserExという難読化ツールでコードを保護し、名前付きパイプやWebSocket通信など複数の通信プロトコルを使い分ける高度な設計です。

興味深い点として、NeuralExecutorのコード内にロシア語の文字列「Супер обфускатор(Super obfuscator)」が含まれているものの、これは誤誘導(デコイ)である可能性が高いとされています。また、2025年のサンプルではGitHubリポジトリからC2情報を取得する「Dead Drop Resolver」技術が使われており、中国語圏のAPTグループに多く見られる手法です。さらに、Cisco Talosの報告と一致するPDBパスを持つDLLも検出されており、APT41との関連も示唆されていますが確定はしていません。

影響や重要性

このキャンペーンは、政府機関や金融機関、産業組織といった重要インフラを標的とし、特にアジア、アフリカ、ラテンアメリカ地域で被害が拡大しています。標的型攻撃であるため、一般的なマルウェア感染とは異なり、特定の組織やシステムに対して非常に狙いを絞った高度な攻撃が行われています。

攻撃者は複数の検知回避技術を駆使し、長期間にわたり潜伏・活動することが可能であるため、被害の拡大や情報漏洩のリスクが高い状況です。特に金融機関が狙われていることから、経済的な損失や信用低下の可能性も懸念されます。

まとめ

PassiveNeuronキャンペーンは、2024年に発見されて以降、断続的に活動を続ける高度な標的型サイバースパイ攻撃です。Microsoft SQLサーバーの脆弱性を突き、複雑なマルウェアと検知回避技術を用いて政府機関や金融機関を狙っています。攻撃の特徴や技術的詳細を理解し、SQLサーバーの脆弱性対策、管理者アカウントの強化、多層的なセキュリティ対策を講じることが重要です。

特に、以下の対策が推奨されます:

  • SQLサーバーの脆弱性管理とSQLインジェクション対策の強化
  • 管理者アカウントの強力なパスワード設定と多要素認証の導入
  • Kasperskyなどの高度なセキュリティ製品の導入および最新定義への更新
  • DLLハイジャック攻撃を防ぐためのシステム監査と不審なDLLファイルの検出
  • ネットワークアダプターのMACアドレスによるアクセス制御や異常な通信の監視
  • 不審なPowerShellやVBSスクリプトの実行監視と制限

これらの対策を通じて、PassiveNeuronのような高度な標的型攻撃から組織を守ることが求められます。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です