カスペルスキーは、Windowsサーバーを標的としたPassiveNeuronサイバースパイ活動について強調している。

2024年12月以来、「PassiveNeuron」と呼ばれるサイバースパイ活動がWindowsサーバーを標的としています。標的は主にアジア、アフリカ、ラテンアメリカの政府機関、銀行、そして産業界です。これは初めての試みではありません。6ヶ月の休止期間を経て、この活動はさらに洗練されたツールを用いて再開されました。

Kasperskyは、TA569と呼ばれるグループが発信源となっているこの脅威を発見しました。このグループは、侵害されたマシンへのアクセスを販売することで知られており、これは紛れもない闇市場です。攻撃は、システムの奥深くまでネットワークに侵入するように設計された様々なマルウェアを用いて行われます。

この活動は、標的のインフラストラクチャのバックボーンとして機能することが多いWindows Serverシステムの脆弱性を悪用します。その目的は明確です。機密データへの広範なアクセスを獲得し、検知されずにスパイ活動を行うことです。

PassiveNeuronのツールとその仕組み

PassiveNeuronの武器は、主に3つのツールで構成されています。そのうち2つは、これまで研究者に知られていなかった新しいツールです。 1つ目のNeursiteはモジュール型のバックドアです。システム環境をスキャンし、プロセスを開始または停止し、ネットワークトラフィックをリダイレクトすることで、侵入したネットワークを自由に移動できます。

2つ目のNeuralExecutorは、.NETプラットフォームをベースとしたインプラントです。このソフトウェアは、攻撃者が制御サーバーとの様々な通信手段を介して、感染サーバー上で追加のペイロードを受信し、実行することを可能にします。

最後に、このグループは、よく知られた監査フレームワークであるCobalt Strikeを悪用しています。このフレームワークは侵入テストに使用されることもありますが、攻撃者がステルス的な侵入を行い、環境内に留まるためにも広く利用されています。

Windowsサーバーを標的とすることが攻撃者にとって戦略的である理由

遠回しにせず、はっきりさせておきましょう。インターネットに公開されているサーバーは、PassiveNeuronのようなAPT攻撃の主要な標的です。たった1台のマシンが侵害を受けるだけで、重要なシステムへの侵入口が開かれてしまいます。だからこそ、攻撃対象領域を縮小し、サーバーアプリケーションを綿密に監視することが極めて重要です。

もし管理者がこうした監視なしで済むと考えているなら、厳しい現実に直面することになるでしょう。こうした環境では、アップデートを少し遅らせるだけでなく、厳格で継続的な監視が求められます。そうでなければ、あらゆる種類の攻撃の標的となってしまいます。

さらに、これらの攻撃は状況を混乱させることをためらいません。悪意のあるコード関数は、キリル文字を用いて混乱を招きます。これは、アナリストの時間を無駄にする典型的な偽情報戦術です。

被害に遭わないための実践的な推奨事項：脅威を監視し、迅速に行動すること。それが被害を回避する唯一の方法です。カスペル​​スキーのエキスパートは率直に述べています。SOCチームには最新の脅威インテリジェンスを提供する必要があります。 Kaspersky Threat Intelligenceポータルは、このための重要な資産です。

しかし、それだけではありません。これらの標的型脅威を検知するためのチームトレーニングも不可欠です。Kasperskyは、この新世代の攻撃に対処するために、実績のあるエキスパートが開発したオンライントレーニングコースを提供しています。

攻撃発生時に迅速に対応するには、Kaspersky Endpoint Detection and ResponseなどのEDRソリューションが不可欠です。これらのソリューションは、インシデントが拡大する前に検知・隔離します。

ネットワーク保護とチームの意識向上は、これまで以上に重要です。 防御はエンドポイントで止まりません。Kaspersky Anti Targeted Attack Platformなどのエンタープライズグレードのネットワークセキュリティプラットフォームは、攻撃による被害が甚大になる前に早期介入を可能にします。