Source: https://thehackernews.com/2025/10/researchers-identify-passiveneuron-apt.html
🛡 概要
2024年11月、Kasperskyは新たなサイバー攻撃キャンペーン「PassiveNeuron」を発表しました。この攻撃は、アジア、アフリカ、ラテンアメリカに位置する政府、金融、工業組織を標的としています。特に、ラテンアメリカと東アジアの政府機関に対する攻撃が注目されており、これまでに見たことのないマルウェアファミリーであるNeursiteとNeuralExecutorが使用されています。攻撃者は、すでに侵害された内部サーバーを利用して、監視を逃れる手法を採用しています。
🔍 技術詳細
PassiveNeuron攻撃は、Windows Server上でのリモートコマンド実行の能力を獲得することから始まります。攻撃者は管理者アカウントのパスワードをブルートフォース攻撃するか、SQLインジェクションの脆弱性を利用する可能性があります。攻撃者はASPXウェブシェルを展開しようとしましたが、失敗した場合でも、System32ディレクトリにDLLローダーを介して高度なインプラントが配信されました。Neursiteは、C2サーバーに接続するための埋め込まれた設定を持ち、TCP、SSL、HTTP、HTTPSプロトコルを使用して通信します。NeuralExecutorは、C2サーバーのアドレスをGitHubリポジトリから取得する設計になっており、合法的なコードホスティングプラットフォームを死体投下解決策として利用しています。
⚠ 影響
PassiveNeuronキャンペーンは特にサーバーマシンをターゲットにしており、インターネットに晒されたサーバーは高度な持続的脅威(APT)の魅力的なターゲットです。このようなサーバーは、ターゲット組織への侵入点として機能するため、攻撃者にとって重要な資産となります。攻撃者がデータを横移動させ、重要な情報を盗む能力を持つため、組織は重大な情報漏洩や業務の中断といったリスクにさらされます。
🛠 対策
PassiveNeuronの脅威を軽減するためには、組織はセキュリティ対策を強化する必要があります。まず、サーバーの脆弱性を定期的に診断し、パッチを適用することが重要です。また、強力なパスワードポリシーの導入や、ブルートフォース攻撃を防ぐためのアカウントロックアウト機能を実装することも有効です。さらに、ネットワークトラフィックの監視や、不審な活動の検出を行うための侵入検知システム(IDS)を導入することが推奨されます。これらの対策を講じることで、PassiveNeuronのような高度な攻撃から組織を保護することが可能になります。
