Home / セキュリティ対策 / PassiveNeuronキャンペーン、政府・金融・産業分野のサーバーを標的に高度攻撃

PassiveNeuronキャンペーン、政府・金融・産業分野のサーバーを標的に高度攻撃

2025年11月1日

出典: Securelist – https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

PassiveNeuronキャンペーン:政府・金融・産業分野を狙う高度なサイバースパイ活動の全貌

2024年に発見された「PassiveNeuron」キャンペーンは、アジア、アフリカ、ラテンアメリカの政府機関や金融機関、産業組織を標的にした高度なサイバースパイ活動です。本記事では、このキャンペーンの攻撃手法や技術的特徴、影響、そして対策について詳しく解説します。

主要なポイント

  • 複雑かつ長期にわたる攻撃活動:2024年6月に一度拡散阻止されたものの、2024年12月以降再び感染波が観測され、2025年8月まで継続していたことが確認されています。
  • 多様な初期侵入手法:Microsoft SQLサーバーの脆弱性やSQLインジェクション、管理者アカウントの不正取得を利用し、初期侵入を実現しています。
  • 高度なマルウェアインプラントの使用:Neursite(C++製モジュラーバックドア)、NeuralExecutor(.NET製インプラント)、Cobalt Strikeフレームワークの3種類を駆使し、多段階のDLLローダーチェーンや難読化技術で検知を回避しています。
  • 標的限定の実行制御:ネットワークアダプタのMACアドレスをハッシュ化し、特定の値と一致しない環境ではマルウェアが終了する仕組みを導入しています。
  • 攻撃者の多国籍的特徴:ロシア語文字列の誤誘導や、中国語圏のAPTグループに多いGitHubを利用したDead Drop Resolver技術の採用、さらにAPT41に関連するDLLの発見など、多様な背景が示唆されています。

技術的な詳細や背景情報

PassiveNeuronキャンペーンの初期侵入は、Microsoft SQLサーバーの既知の脆弱性やSQLインジェクション攻撃、さらに管理者アカウントの不正利用が疑われています。攻撃者はASPXウェブシェルの展開を試みましたが、Kaspersky製品によって阻止され、複数の回避手法を駆使しました。

攻撃の永続化には「Phantom DLL Hijacking」という技術が用いられています。これは、WindowsのSystem32フォルダ内に大容量(100MB以上)に膨張させた偽装DLLを配置し、正規のDLLとして読み込ませることで検知を回避しつつマルウェアを持続させる手法です。

また、マルウェアは多段階のDLLローダーチェーン構造を持ち、第一段階から第四段階まで段階的にペイロードを復号・展開します。最終的なペイロードはカスタム実行形式に変換されており、VMProtectによる難読化やプロセス注入技術も確認されています。

NeursiteはTCP、SSL、HTTP、HTTPSなど複数の通信プロトコルを用いてC2(コマンド&コントロール)サーバーと通信し、プラグイン機能でシェルコマンドの実行やファイル管理、TCPソケット操作を可能にしています。一方、NeuralExecutorは.NET環境で動作し、ConfuserExによる難読化が施され、GitHubからC2情報を取得するDead Drop Resolver技術を採用しています。

影響や重要性

このキャンペーンは、アジア、アフリカ、ラテンアメリカの政府機関や金融機関、産業組織のWindows Server上で稼働するSQLサーバーを主な標的としています。これらの組織が攻撃を受けることで、国家レベルの機密情報や金融データ、産業技術情報の漏洩リスクが高まります。

さらに、攻撃者は標的を厳密に限定し、サンドボックス環境での解析を回避する高度な技術を使用しているため、検知や分析が非常に困難です。ロシア語文字列の誤誘導やGitHubを利用したC2アドレス取得など、多国籍的な特徴を持つことから、単一のAPTグループによるものとは断定できず、多様な攻撃者が関与している可能性も示唆されています。

まとめ

PassiveNeuronキャンペーンは、複雑な多段階攻撃手法と高度な難読化技術を駆使し、政府・金融・産業分野の重要サーバーを標的にした高度なサイバースパイ活動です。特にMicrosoft SQLサーバーの脆弱性を突く初期侵入から、Phantom DLL Hijackingによる永続化、標的限定の実行制御まで、多層的な防御回避策が特徴的です。

対策としては、SQLサーバーの脆弱性管理やSQLインジェクション対策、強固な管理者パスワードの設定が不可欠です。また、Kasperskyなどの信頼性の高いセキュリティ製品の導入と最新状態の維持、不審なDLLファイルや大容量ファイルの監視、ネットワークアダプタのMACアドレスを用いた異常通信の検知が推奨されます。さらに、GitHubなど外部リポジトリからの不審な通信監視や、多段階ローダーや難読化技術に対応した高度な解析体制の構築も重要です。

今後も高度化するサイバー攻撃に対抗するためには、最新の攻撃手法を理解し、継続的なセキュリティ対策の強化が求められます。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です