カスペルスキーの報告によると、脅威アクターがアジア、アフリカ、ラテンアメリカの政府、金融、産業の著名な組織を複数のインプラントで標的にしています。
この感染キャンペーンはPassiveNeuronと名付けられ、少なくとも2年間継続しています。2024年6月に詳細が明らかになった後、攻撃は6か月間停止しましたが、2024年12月に再開し、少なくとも2025年8月まで続きました。
このキャンペーンの一環として、脅威アクターは主にWindows Serverを実行しているマシンに注目し、ウェブシェルの展開のためにリモートコード実行(RCE)を取得し、その後さまざまなインプラントを配置しています。
ある事例では、攻撃者はMicrosoft SQLを悪用してASPXウェブシェルを実行しました。試みが阻止された後、より高度なインプラントの展開を試みました。
過去2年間で、カスペルスキーはPassiveNeuronキャンペーンで使用された3つのインプラント、すなわちNeursite(カスタムC++モジュール型バックドア)、NeuralExecutor(カスタム.NETインプラント)、およびCobalt Strikeフレームワークを特定しました。
「これらのインプラントのさまざまな組み合わせが標的マシンに展開されているのを確認しましたが、大多数の場合、DLLローダーの連鎖によって読み込まれていました」とカスペルスキーは説明しています。
DLLはSystem32ディレクトリに配置され、永続性とシステム起動時の自動実行が確保されていました。また、サイズも大きく、100MBを超えており、検知を回避するために人工的に膨らませてありました。
Neursiteバックドアはコマンド&コントロール(C&C)通信のために複数のプロトコルを使用し、システム情報の取得、実行中プロセスの管理、他の感染マシンを介したトラフィックのプロキシが可能です。
また、追加プラグインの読み込みにも対応しており、攻撃者はシェルコマンドの実行、ファイルシステムの管理、さまざまなTCPソケット操作を行うことができます。
NeuralExecutorは複数の通信プロトコルに対応したカスタムローダーで、C&Cから受信したコマンドに基づいて.NETアセンブリを読み込むよう設計されています。
「NeursiteとNeuralExecutor、PassiveNeuronキャンペーンで使用されているこれら2つのカスタムインプラントは、これまでのサイバー攻撃で観測されたことがありません」とカスペルスキーは述べています。
最近のNeursiteおよびNeuralExecutorのサンプルは、GitHubからC&Cサーバーのアドレスを取得しており、これは中国語話者の脅威アクター(APT31やAPT27など)に人気の手法です。また、解析されたDLLの1つに含まれるPDB文字列がAPT41を示唆しており、カスペルスキーはPassiveNeuronキャンペーンを中国語話者のAPTに帰属させました。
「PassiveNeuronキャンペーンは、主にサーバーマシンを標的にしている点で特徴的です。これらのサーバー、特にインターネットに公開されているものは、APTにとって魅力的な標的であり、標的組織への侵入経路となり得ます」とカスペルスキーは指摘しています。
