サイバーニュース.jp

世界のサイバーなニュースを配信

サイバー諜報キャンペーン「PassiveNeuron」が再活性化、高プロファイルサーバーを標的に

カテゴリ:

, , , , , , , , ,

概要:PassiveNeuronキャンペーンの再燃

数ヶ月の休止期間を経て、高度なサイバー諜報キャンペーン「PassiveNeuron」が再び活発化しています。セキュリティ研究者たちは、その運用と攻撃手法に関する新たな詳細を明らかにしました。2024年6月に初めて検出されたこのキャンペーンは、アジア、アフリカ、ラテンアメリカの政府機関、金融機関、産業組織を標的とし、これまで知られていなかったマルウェアインプラントを展開しています。

初期侵入と持続性

PassiveNeuronの攻撃者は、主にMicrosoft SQLサーバーを悪用して標的ネットワークへの初期アクセスを獲得していることが確認されています。彼らはWindows Serverマシンを侵害することを好み、SQLソフトウェアの脆弱性を利用するか、データベース管理者の認証情報をブルートフォース攻撃で突破して悪意のあるコマンドを実行します。侵入後、攻撃者はASPXウェブシェルを展開して足場を維持しますが、セキュリティソリューションによってこれらの初期段階の展開が頻繁に阻止されています。

攻撃の洗練された性質は、攻撃者の持続性に見られます。ウェブシェルの検出に直面すると、攻撃者は驚くべき適応性を示し、展開技術を繰り返し変更しました。彼らはBase64と16進エンコーディングを切り替え、PowerShellからVBSスクリプトに移行し、セキュリティ製品を回避するために行ごとの書き込み方法を採用しています。

カスタムマルウェアの兵器庫

PassiveNeuronキャンペーンは、3つの異なる悪意のあるインプラントを使用しています。Neursite、NeuralExecutor、そして商用のCobalt Strikeフレームワークです。

  • Neursite: カスタムのC++モジュラーバックドアであり、兵器庫の中で最も洗練されたものです。複数のC2サーバー、HTTPプロキシサポート、特定の時間と曜日に基づくスケジュールされた運用ウィンドウを含む広範な設定システムを備えています。そのプラグインアーキテクチャにより、シェルコマンド実行、ファイルシステム管理、TCPソケット操作のための追加機能を動的にロードできます。
  • NeuralExecutor: ConfuserExオブファスケーターによって保護された.NETベースのローダーです。このツールは、TCP、HTTP/HTTPS、名前付きパイプ、WebSocketを含む複数の通信プロトコルを使用して、コマンド&コントロールサーバーから追加の.NETペイロードを受信および実行することに特化しています。2025年に発見された最新バージョンには、検出を困難にするためにGitHubリポジトリからC2アドレスを取得するDead Drop Resolver技術が組み込まれています。

両方のインプラントは、精巧なDLLローダーチェーンを通じて展開されます。最初のステージのDLLは、分析を妨げるために意図的に100MB以上に肥大化されています。マルウェアは、システム起動時に自動的にロードされるように、System32ディレクトリに特別に命名されたDLLを配置するPhantom DLL Hijackingを使用して自動的な持続性を実現します。重要なことに、これらのローダーにはMACアドレス検証チェックが組み込まれており、サンドボックス分析を防ぐために意図された被害者マシンでのみ実行されるようになっています。

帰属と防御策

偽装の可能性から帰属の特定は依然として困難ですが、研究者たちは中国語を話す脅威アクターを指し示すいくつかの指標を特定しています。2025年のNeuralExecutorサンプルは、以前APT31およびAPT27グループに関連付けられていたEastWindキャンペーンで使用された技術と酷似したGitHubからの設定取得方法を採用しています。さらに、調査員はAPT41の活動に関する以前の報告で参照されたPDBパスを持つ悪意のあるDLLを発見しました。興味深いことに、2024年初頭のサンプルにはロシア語の文字列「Супер обфускатор」(スーパーオブファスケーター)が含まれていましたが、これは潜在的な偽装として慎重に扱われています。これらの文字列は2025年バージョンでは消えており、攻撃者が運用セキュリティ対策を洗練させた可能性を示唆しています。

PassiveNeuronは2024年6月の最初の発見後、約6ヶ月間沈黙し、2024年12月に再浮上しました。この新たな感染の波は2025年8月まで続いており、脅威アクターの執拗さと諜報活動へのコミットメントを示しています。MACアドレスフィルタリングやサーバー固有の展開戦略の使用は、日和見的な攻撃ではなく、特定の高価値組織に対する情報収集を目的とした標的型攻撃であることを示しています。

セキュリティ専門家は、特に潜在的な侵入ポイントとなるインターネットに接続されたマシンに対して、サーバー保護を優先することの重要性を強調しています。PassiveNeuronや同様の高度な持続的脅威から防御するためには、堅牢なSQLインジェクション防御、サーバーアプリケーションの厳重な監視、包括的なウェブシェル検出機能の展開が不可欠です。

元記事: https://gbhackers.com/passiveneuron/

投稿をさらに読み込む