サイバーエスピオナージキャンペーン「PassiveNeuron」が再浮上
数ヶ月の休止期間を経て、高度なサイバーエスピオナージキャンペーン「PassiveNeuron」が再び活動を開始しました。セキュリティ研究者たちは、その運用と攻撃手法に関する新たな詳細を明らかにしています。2024年6月に初めて検出されたこのキャンペーンは、新たなマルウェアインプラントを用いて、アジア、アフリカ、ラテンアメリカの政府機関、金融機関、産業組織を標的に、その活動を活発化させています。
初期アクセスと巧妙な永続化手法
PassiveNeuronの攻撃者は、主にMicrosoft SQLサーバーを悪用して標的ネットワークへの初期アクセスを獲得しています。彼らはWindows Serverマシンを侵害することを好み、SQLソフトウェアの脆弱性を利用したり、データベース管理者の認証情報をブルートフォース攻撃で突破したりして、悪意のあるコマンドを実行します。一度侵入に成功すると、ASPXウェブシェルを展開して足場を維持しますが、これらの初期段階の展開はセキュリティソリューションによって頻繁に阻止されています。
攻撃の洗練された性質は、攻撃者の永続性への執着から明らかになります。ウェブシェルが検出された場合、攻撃者は驚くべき適応性を示し、展開技術を繰り返し変更します。彼らはBase64エンコーディングと16進エンコーディングを切り替え、PowerShellからVBSスクリプトに移行し、セキュリティ製品の回避のために行ごとの書き込み方法を採用しています。
カスタムマルウェアの兵器庫
PassiveNeuronキャンペーンは、Neursite、NeuralExecutor、そして商用フレームワークであるCobalt Strikeという3つの異なる悪意のあるインプラントを使用しています。
- Neursite: カスタムC++モジュラーバックドアであり、この兵器庫の中で最も洗練された武器として際立っています。複数のC2サーバー、HTTPプロキシサポート、さらには特定の時間と曜日に基づいたスケジュールされた運用ウィンドウを含む広範な設定システムを備えています。そのプラグインアーキテクチャにより、攻撃者はシェルコマンド実行、ファイルシステム管理、TCPソケット操作のための追加機能を動的にロードできます。
- NeuralExecutor: 2番目のカスタムインプラントで、ConfuserExオブfuscatorによって保護された.NETベースのローダーです。このツールは、コマンド&コントロールサーバーから追加の.NETペイロードを受信して実行することに特化しており、TCP、HTTP/HTTPS、名前付きパイプ、WebSocketsを含む複数の通信プロトコルを使用します。2025年に発見された最新バージョンには、検出を困難にするためにGitHubリポジトリからC2アドレスを取得する「Dead Drop Resolver」技術が組み込まれています。
両方のインプラントは、精巧なDLLローダーチェーンを通じて展開されます。最初のステージのDLLは、分析を妨げるために100MB以上に人為的に肥大化されています。マルウェアは、システム起動時に自動的にロードされるように、System32ディレクトリに特別に命名されたDLLを配置する「Phantom DLL Hijacking」を利用して自動的な永続性を実現します。重要なことに、これらのローダーにはMACアドレス検証チェックが組み込まれており、サンドボックス分析を防ぐために意図された被害者マシン上でのみ実行されるようになっています。
攻撃者の帰属と進化
潜在的な偽旗の可能性から帰属の特定は依然として困難ですが、研究者たちは中国語を話す脅威アクターを示すいくつかの指標を特定しています。2025年のNeuralExecutorサンプルに見られるGitHubからのC2設定取得方法は、以前APT31およびAPT27グループに関連付けられていたEastWindキャンペーンで使用された技術と酷似しています。さらに、調査員はAPT41の活動に関する以前の報告で参照されたPDBパスを持つ悪意のあるDLLを発見しました。
興味深いことに、2024年初頭のサンプルには「Супер обфускатор」(スーパーオブfuscator)というロシア語の文字列が含まれていましたが、研究者たちはこれを潜在的な偽旗として慎重に扱っています。これらの文字列は2025年バージョンでは消えており、攻撃者が運用セキュリティ対策を洗練させた可能性を示唆しています。
6ヶ月の沈黙を破り、継続する脅威
2024年6月の最初の発見後、PassiveNeuronは約6ヶ月間沈黙していましたが、2024年12月に再浮上しました。この新たな感染の波は2025年8月まで続いており、脅威アクターの永続性とスパイ活動の目標へのコミットメントを示しています。MACアドレスフィルタリングやサーバー固有の展開戦略の使用に見られるキャンペーンの標的型性質は、日和見的な攻撃ではなく、特定の高価値組織に対する情報収集を示唆しています。
セキュリティ専門家は、特に潜在的な侵入ポイントとなるインターネットに接続されたマシンについて、組織がサーバー保護を優先する必要があることを強調しています。堅牢なSQLインジェクション防御、サーバーアプリケーションの警戒的な監視、包括的なウェブシェル検出機能の導入は、PassiveNeuronおよび同様の高度な持続的脅威から防御するための不可欠なステップです。