HomeNon classéPassiveNeuronのサイバースパイ活動はWindows Serverを実行しているマシンをターゲットにしている
Non classé

PassiveNeuronのサイバースパイ活動はWindows Serverを実行しているマシンをターゲットにしている

By Valentin , on 9 12月 2025 , updated on 9 12月 2025 - 1 minute to read

PassiveNeuronによる攻撃キャンペーンは、2025年に再び注目を集めています。主な標的はWindowsサーバーです。大規模組織にとって貴重なこれらのマシンは、目立たないながらも強力な侵入の標的となっています。その目的は、重要な部門における機密情報の漏洩です。

Windowsサーバー:PassiveNeuronの格好の狩場

簡単に言うと、PassiveNeuronはWindowsサーバー、特にMicrosoft SQL Server経由で公開されているサーバーを標的としています。攻撃は、ソフトウェアの欠陥や、ホストされているアプリケーションに存在するSQLインジェクションの脆弱性を悪用します。その目的は?多くの場合、管理者パスワードをクラッキングすることでバックドアからアクセスし、リモートコマンドを実行することです。

マシンが侵害されると、攻撃者は制御を維持するためにASPX Webシェルをインストールしようとします。しかし、Kasperskyのような強力なウイルス対策ソフトウェアは、侵入段階を検知・ブロックするため、多くの場合、その試みは阻止されます。ペイロードのエンコードとデコードの繰り返し試行は、この攻撃の深刻さを明確に示しています。

悪意のあるインプラント:NeursiteとNeuralExecutor が保留中

2024年6月から2025年8月にかけて、この攻撃は主に3つのインプラントを用いて実行されました。堅牢なC++バックドアであるNeursite、.NETインプラントであるNeuralExecutor、そしてペネトレーションテスターやサイバー攻撃開発者に馴染みのあるCobalt Strikeツールです。これらのペイロードは、System32に配置されたDLLを介して展開され、 wlbsctrl.dllTSMSISrv.dllといった無害な名前が付けられています。その仕組みは?これらのDLLは非常に大きく、検出を困難にするために極限まで肥大化しています。

プロセスは単純です。MACアドレス検証によって正しいターゲットであることを確認し、最初のDLLから最終的なシェルコードまで、様々なインプラントを連鎖的に読み込みます。この方法により、不正アクセスは事実上不可能になり、偶然ではなく特定のインフラストラクチャへの関心が露呈します。

Neursiteバックドアの興味深い詳細

このバックドアは、TCP、SSL、HTTP、HTTPSを介して制御サーバーとの高度な通信を可能にします。複数のプロキシをサポートし、リスニングポートを開くことさえ可能です。コマンド側では、システム情報を取得し、プロセスを管理し、他の感染マシンを経由してトラフィックをルーティングすることで、侵入範囲を拡大します。

最も恐ろしいのは?その柔軟性です。プラグインをロードすることで、シェルコマンドの実行、ファイルシステムの操作、TCP経由のトラフィック送信などが可能になります。ログを監視する管理者にとって、これは決して笑い事ではありません!

多用途な.NET兵器、NeuralExecutorの役割

堅牢なNeursiteとは対照的に、NeuralExecutorははるかに機敏です。.NETテクノロジーをベースとし、複数のネットワークプロトコルを使用し、追加の.NETペイロードをオンザフライで受信できます。すべてがオープンソースの難読化ツールによってしっかりと暗号化され、保護されています。これらの特性により、従来のツールによる分析と検出は困難です。

このローダーは、GitHubリポジトリ経由でサーバーアドレスを取得する手法を用いていることは注目に値します。これは中国のグループによく見られる特徴的な手法です。これは、このキャンペーンの背後にいる人物を解明する上で重要な手がかりとなります。

PassiveNeuronキャンペーンの帰属から明らかになったこと 帰属の特定は依然として複雑ですが、私たちは少し賭けに出ています。PassiveNeuronの戦術、手法、そして手順は、よく知られた中国のグループが用いるものと著しく類似しています。マルウェアのコードに埋め込まれたキリル文字の文字列といった偽の手がかりは、欺瞞のためのブラフである可能性が高いです。

特に、標的から回収された特定されたDLLファイル

imjp14k.dll

は、Cisco Talosが既に言及しているAPT41に関する手がかりと一致しています。APT41は、長年にわたり関与してきた中国のグループです。これは決して偶然とは思えません。

Windows Server をご利用の IT プロフェッショナルの皆様への警告 遠回しにせず、Windows サーバーのセキュリティ確保は極めて重要な課題となっています。攻撃対象領域を縮小し、不審なアクティビティを監視し、すべての SQL 脆弱性にパッチを適用してください。わずかな見落としでも、忍耐強いサイバースパイの侵入口となりかねません。

Donner votre avis
Partager cet article :
アバター画像

Valentin

Salut ! Je m'appelle Valentin, j'ai 27 ans et je suis Administrateur système et réseaux. J'adore faire la fête, jouer au foot et passer du temps sur les jeux vidéos.

Comments

Leave a comment

Your comment will be revised by the site if needed.