Home / セキュリティ / パッシブニューロン:著名組織のサーバーを狙う高度な攻撃キャンペーン

パッシブニューロン:著名組織のサーバーを狙う高度な攻撃キャンペーン

2025年10月30日

出典: Securelist – https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

原題: PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

パッシブニューロン:著名組織のサーバーを標的とした高度な攻撃キャンペーン

2024年に発見された「PassiveNeuron」キャンペーンは、政府機関や金融、産業組織のサーバーを狙った高度なサイバースパイ活動です。未知のAPT(高度持続的脅威)インプラント「Neursite」と「NeuralExecutor」を駆使し、多層的な攻撃手法で標的に侵入を試みています。

主要なポイント

  • 高度なマルウェアと多段階攻撃:NeursiteはC++製のモジュラー型バックドアで、TCP/SSL/HTTP/HTTPS通信を用い、プロセス管理や横展開を行います。一方、NeuralExecutorは.NETベースで難読化され、複数の通信手段を持ち追加ペイロードを実行可能です。
  • 初期侵入手法:攻撃者はMicrosoft SQLサーバーの脆弱性やSQLインジェクション、管理者アカウントの不正取得を利用し、ASPXウェブシェルの展開を試みましたがKaspersky製品により阻止されました。その後、より高度なインプラントで攻撃を継続しています。
  • 検知回避技術:インプラントはSystem32フォルダ内の正規DLL名を偽装し、100MB以上に膨らませたDLLファイルを用いて永続化(Phantom DLL Hijacking)を実現。さらに、MACアドレスのハッシュチェックで特定標的のみで動作し、サンドボックス解析を困難にしています。
  • 攻撃の地理的範囲と対象:アジア、アフリカ、ラテンアメリカの政府機関、金融機関、産業組織が主な標的であり、Windows Serverを稼働するサーバーが狙われています。
  • 攻撃者の背景と関連性:2025年版のNeuralExecutorはGitHubリポジトリからC2情報を取得するDead Drop Resolver技術を使用しており、中国語圏のAPTグループ(APT31、APT27)と類似の手法が確認されています。また、発見されたDLL「imjp14k.dll」はAPT41との関連が示唆されています。

技術的な詳細や背景情報

初期侵入はSQLサーバーの脆弱性やSQLインジェクション、管理者アカウントの不正取得が疑われています。攻撃者はBase64や16進数エンコード、PowerShellやVBSスクリプトを駆使しASPXウェブシェルの展開を試みましたが、Kaspersky製品により阻止されました。

その後、複数段階のDLLローダーチェーンを用いて攻撃を継続。System32フォルダ内の正規DLL名を偽装し、Windowsの正規プロセス(svchost.exeやmsdtc.exe)にロードされることで検知を回避します。DLLファイルは100MB以上に膨張され、解析を困難にするジャンクデータが含まれています。

さらに、MACアドレスのハッシュチェックにより特定の標的機のみで動作し、サンドボックス環境や解析環境での動作を回避。NeursiteはTCP/SSL/HTTP/HTTPS通信を使い、プラグインによる機能拡張やプロキシ機能を備えています。NeuralExecutorは.NETベースでConfuserExによる難読化が施され、名前付きパイプやWebSocket通信も可能です。

2025年版NeuralExecutorはGitHubのリポジトリから暗号化されたC2情報を取得するDead Drop Resolver技術を採用。これは中国語圏のAPTグループでよく使われる手法であり、攻撃者の背景を示唆しています。

影響や重要性

このキャンペーンは政府機関、金融機関、産業組織の重要なサーバーを標的とし、情報漏洩やシステム破壊のリスクを高めています。特にアジア、アフリカ、ラテンアメリカの組織が被害を受けており、地域的にも広範囲に影響が及んでいます。

高度な検知回避技術や標的限定の設計により、従来のセキュリティ対策だけでは防ぎきれない可能性があり、組織のセキュリティ体制強化が急務です。また、攻撃者の手法から中国語圏のAPTグループやAPT41との関連も示唆されており、国際的なサイバー脅威の一端を示しています。

まとめ

PassiveNeuronキャンペーンは、未知の高度なAPTインプラントを用い、多層的かつ巧妙な手法で政府機関や重要組織のサーバーを狙う脅威です。SQLサーバーの脆弱性や管理者アカウントの不正取得を起点に、DLLハイジャックやMACアドレスによる標的限定など高度な技術で検知を回避しています。

対策としては、SQLインジェクション対策や強力なパスワード管理、最新のセキュリティ製品の導入、異常通信の監視、外部リポジトリからの不審な通信検知など、多層的な防御体制の構築が不可欠です。攻撃者の手法や背景を理解し、継続的な監視と対策強化を行うことが重要です。

security-user

Related Posts

Google、「Chrome 142」でV8関連はじめ脆弱性20件を修正
2025年11月4日
不正アクセス受け情報漏えいの可能性│株式会社がんばる舎
2025年11月4日
メメントラボのスパイウェア「ダンテ」を用いた新たな標的型攻撃キャンペーン「フォーラムトロール」検出
2025年11月2日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です