出典:Brian Jackson(Alamy Stock Photo経由)
アジア、アフリカ、ラテンアメリカの政府、産業、金融分野の著名な組織を標的とした脅威キャンペーンが、サイバースパイ活動向けに設計された2つのカスタムマルウェアインプラントで攻撃しています。
「PassiveNeuron」と名付けられたこのキャンペーンは、2024年6月にKasperskyの研究者によって最初に発見されて以来再び現れ、20204年12月から2025年8月にかけての関連感染の新たな波について、本日公開されたブログ記事で詳細が報告されています。
このキャンペーンは、Windowsベースの組織のサーバーを「Neursite」と「NeuralExecutor」と呼ばれるカスタムマルウェアで特に侵害します。これらはそれぞれC++製のモジュール型バックドアと追加の.NETペイロードを実行するためのインプラントです。どちらのマルウェアも、Kasperskyによると他の脅威キャンペーンでは以前に確認されていません。攻撃者はまた、脅威アクターによく利用される商用レッドチーミングツールであるCobalt Strikeもペイロードとして展開します。
さらに、このキャンペーンが注目すべきサーバーを標的としていることから、APT(高度持続的脅威)活動が示唆されると記事は述べています。「これらのサーバー、特にインターネットに公開されているものは、APTにとって非常に魅力的な標的であり、標的組織への侵入経路となり得ます」と、Kasperskyのセキュリティ専門家Georgy Kucherin氏とSaurabh Sharma氏は記事で述べています。
ある感染事例の分析によると、攻撃者は特にMicrosoft SQL Serverソフトウェアを狙っていることが示唆されており、研究者は攻撃者がSQL Serverを介して侵害されたサーバー上で初期のリモートコマンド実行権限を獲得したことを観察しました。
研究者はソフトウェアがどのように侵害されたか正確には観察できませんでしたが、通常、攻撃者はサーバー自体の脆弱性の悪用や、サーバー上で動作するアプリケーションに存在するSQLインジェクションの脆弱性を通じてこれらのサーバーをハッキングするとのことです。また、攻撃者はデータベース管理アカウントのパスワードを総当たり攻撃で突破したり、その他の方法でアクセス権を得て、悪意のあるSQLクエリを実行することもできると研究者は述べています。
PassiveNeuronキャンペーンの背後にいるのは誰か?
いずれのマルウェアも以前には特定されていなかったため、研究者にとってこのキャンペーンの帰属は困難だったといいます。最初の手がかりとしては、2024年に観察されたNeuralExecutorサンプルのすべての関数名が「Супер обфускатор」(ロシア語で「スーパー難読化ツール」)という文字列に置き換えられていたことから、ロシア支援の脅威アクターが関与している可能性が示唆されました。
しかし、攻撃者はConfuserEx難読化ツールを使用する際にこの文字列を意図的に導入しており、これは本当の攻撃者の痕跡を研究者から隠すためのものだった可能性があるとKucherin氏とSharma氏は述べています。「脅威アクターは、自分たちが話さない言語の文字列を挿入して、研究者やインシデント対応者を混乱させ、脅威の帰属判断を誤らせるための偽旗を作ることがあります」と記事で述べています。
最終的に、研究者はこの活動が中国支援の脅威アクターと関連していると考えられる様々な手がかりを発見しました。特に、2025年の攻撃で使用されたマルウェアサンプルがコマンド&コントロール(C2)サーバーアドレスを取得する方法がその理由です。
「2024年のサンプルはC2サーバーアドレスを設定から直接取得するよう設計されていましたが、2025年のサンプルはDead Drop Resolver手法を使っていました」と研究者は記しています。この手法は既存の正規の外部Webサービス(この場合はGitHub)を利用して、C2インフラを指し示す情報をホストします。
「GitHubから区切り文字列を含む文字列を使ってC2サーバーアドレスを取得するこの正確な方法は、中国語話者の脅威アクター、特に過去のEastWindキャンペーンに関係する者の間で非常に一般的です」と彼らは記しています。
さらに、PassiveNeuronキャンペーン全体のTTP(戦術・技術・手順)は、中国語話者の脅威アクターによく見られるものと最も類似していると研究者は付け加えています。これらの理由から、PassiveNeuronキャンペーンは「低い確度ながら」中国語話者の脅威アクターによるものと帰属されました。
カスタムマルウェアの分析
キャンペーンでドロップされた3つのペイロードのうち、Neursiteバックドアが最も強力であると研究者は指摘しています。このインプラントは、TCP、SSL、HTTP、HTTPSプロトコルをC2通信に利用でき、C2サーバーに直接接続したり、指定されたポートを通じて他のマシンが通信を開始するのを待つことができます。
「観察されたケースでは、Neursiteサンプルは外部サーバーまたは侵害された内部インフラをC2通信に利用するよう設定されていました」と研究者は述べています。バックドアに実装されたデフォルトコマンドにより、攻撃者はシステム情報の取得、実行中プロセスの管理、またはNeursiteインプラントに感染した他のマシンを経由したトラフィックのプロキシ化による横展開が可能です。
Neursiteには補助プラグインをロードできるコンポーネントもあり、その一部はシェルコマンド実行、ファイルシステム管理、TCPソケット操作などを可能にします。
一方、カスタムのNeuralExecutorローダーは、TCP、HTTP/HTTPS、名前付きパイプ、WebSocketなど複数のネットワーク通信方法を実装しています。C2サーバーとの通信チャネルを確立すると、バックドアは.NETアセンブリをロードするコマンドを受信でき、主な機能はネットワークから追加の.NETペイロードを受信して実行することです。
サーバーを侵害から守るには
APTは、標的組織の内部システムをサイバースパイ活動のために侵害し、持続的な監視やデータ流出を可能にする方法を常に模索しています。中国支援の著名なアクターは、特に活発であり、世界中で多数の持続的かつ攻撃的なサイバースパイキャンペーンを随時展開しています。
PassiveNeuronが著名な組織のサーバーマシンを標的としていることから、防御側は保護に細心の注意を払い、可能な限り攻撃対象領域を減らし、すべてのサーバーアプリケーションを監視して新たな感染を防ぐことが重要だと研究者は述べています。
このキャンペーンが特にSQLサーバーを標的としていることから、組織はSQLインジェクション脆弱性からアプリケーションを守る必要があると指摘されています。これは脅威アクターが初期アクセスを得るためによく悪用する手法です。また、攻撃者がサーバーの侵害を容易にするためによく展開するWebシェルに対する防御も強化すべきだと研究者は付け加えています。
