サイバーニュース.jp

世界のサイバーなニュースを配信

高度なサイバー攻撃キャンペーン「PassiveNeuron」が再活性化、高プロファイルサーバーを標的にマルウェアを展開

カテゴリ:

, , , , , , , , ,

PassiveNeuronキャンペーンの再活性化

数ヶ月の休眠期間を経て、高度なサイバー諜報キャンペーン「PassiveNeuron」が再び活動を開始しました。セキュリティ研究者たちは、その運用と攻撃手法に関する新たな詳細を明らかにしています。2024年6月に初めて検出されたこのキャンペーンは、アジア、アフリカ、ラテンアメリカの政府機関、金融機関、産業組織を標的とし、これまで知られていなかったマルウェアインプラントを展開しています。

初期侵入と持続性

PassiveNeuronの攻撃者は、主にMicrosoft SQLサーバーを悪用して標的ネットワークへの初期アクセスを獲得していることが判明しています。彼らはWindows Serverマシンを侵害することを明確に好み、SQLソフトウェアの脆弱性を悪用したり、データベース管理者の認証情報をブルートフォース攻撃したりして、悪意のあるコマンドを実行します。一度侵入すると、攻撃者はASPXウェブシェルを展開して足場を維持しますが、セキュリティソリューションによってこれらの初期段階の展開試行が頻繁に阻止されています。

攻撃の洗練された性質は、攻撃者の持続性に見られます。ウェブシェルの検出に直面すると、攻撃者は驚くべき適応性を示し、展開技術を繰り返し変更しました。彼らはBase64と16進数エンコーディングを切り替え、PowerShellからVBSスクリプトに移行し、セキュリティ製品を回避するために行ごとの書き込み方法を採用しました。

カスタムマルウェアの兵器庫

PassiveNeuronキャンペーンは、3つの異なる悪意のあるインプラントを使用しています。それは、Neursite、NeuralExecutor、そして商用のCobalt Strikeフレームワークです。

  • Neursite: カスタムC++モジュラーバックドアであり、最も洗練された武器です。複数のC2サーバー、HTTPプロキシサポート、さらには特定の時間と曜日に基づくスケジュールされた運用ウィンドウを含む広範な設定システムを備えています。そのプラグインアーキテクチャにより、シェルコマンド実行、ファイルシステム管理、TCPソケット操作のための追加機能を動的にロードできます。
  • NeuralExecutor: ConfuserExオブファスケーターによって保護された.NETベースのローダーです。このツールは、コマンド&コントロールサーバーから追加の.NETペイロードを受信して実行することに特化しており、TCP、HTTP/HTTPS、名前付きパイプ、WebSocketsなど複数の通信プロトコルを使用します。2025年に発見された最新バージョンには、検出を困難にするためにGitHubリポジトリからC2アドレスを取得するDead Drop Resolver技術が組み込まれています。

両方のインプラントは、精巧なDLLローダーチェーンを通じて展開され、最初のステージのDLLは分析を妨げるために100MB以上に人為的に肥大化されています。マルウェアは、システム起動時に自動的にロードされる特別に命名されたDLLをSystem32ディレクトリに配置することで、自動的な持続性のためにPhantom DLL Hijackingを採用しています。重要なことに、これらのローダーにはMACアドレス検証チェックが組み込まれており、サンドボックス分析を防ぐために意図された被害者マシン上でのみ実行されるようになっています。

帰属と進化

誤った情報源の可能性から帰属は依然として困難ですが、研究者たちは中国語を話す脅威アクターを指し示すいくつかの指標を特定しています。2025年のNeuralExecutorサンプルは、以前APT31およびAPT27グループに関連付けられていたEastWindキャンペーンで使用された技術と密接に類似したGitHubからの設定取得方法を採用しています。さらに、調査員はAPT41の活動に関する以前の報告で参照されたPDBパスを持つ悪意のあるDLLを発見しました。興味深いことに、2024年初頭のサンプルには「Супер обфускатор」(スーパーオブファスケーター)というロシア語の文字列が含まれていましたが、研究者たちはこれを潜在的な偽情報として慎重に扱っています。これらの文字列は2025年バージョンでは消えており、攻撃者が運用セキュリティの実践を洗練させたことを示唆しています。

脅威への対策

2024年6月の最初の発見後、PassiveNeuronは約6ヶ月間沈黙していましたが、2024年12月に再浮上しました。この新たな感染の波は2025年8月まで続いており、脅威アクターの執拗さと諜報活動へのコミットメントを示しています。MACアドレスフィルタリングやサーバー固有の展開戦略の使用は、このキャンペーンが日和見的な攻撃ではなく、特定の高価値組織に対する情報収集を目的としていることを示しています。

セキュリティ専門家は、特に潜在的な侵入ポイントとなるインターネットに接続されたマシンに対して、組織がサーバー保護を優先する必要があることを強調しています。堅牢なSQLインジェクション防御の実装、サーバーアプリケーションの警戒監視の維持、包括的なウェブシェル検出機能の展開は、PassiveNeuronおよび同様の高度な持続的脅威から防御するための不可欠なステップです。

元記事: https://gbhackers.com/passiveneuron/

投稿をさらに読み込む