PassiveNeuronは、サイバースパイ活動につけられた名前です。
2024年に活動が観測されていて一旦は拡散が停止したように見えていましたが、その後また活動していることが確認されています。
この活動について、いくつか特徴的な部分があることがわかりました。
- Microsoft SQL serverへの攻撃
PassiveNeuronはMicrosoft SQL serverに対する侵害活動を実施していたことがありました。
最終的にはこの活動は侵害としては成立しなかったのですが、従来見られる他の攻撃とは異なる部分がありました。- Web Shellのエンコードの変更
攻撃キャンペーンの初期の段階では、攻撃者はWeb ShellのバイナリをBase64でエンコードしたものを侵害先に持ち込もうとしていました。
しかし侵害先のセキュリティ対策システムに阻害され、攻撃は成立しませんでした。
その後攻撃者はWeb Shellのバイナリのエンコードを16進エンコードに変更しました。
なんとかして持ち込もうとしている活動が確認できます。 - script言語の変更
攻撃キャンペーンの初期の段階では、攻撃者は送りこめたWeb Shellのデコードや展開にPowerShellのscriptを使用していました。
しかし侵害先のセキュリティ対策システムに阻害され、攻撃は成立しませんでした。
その後攻撃者はWeb Shellのバイナリの現地操作用のscriptをVisual Basic Scriptに変更しました。
- Web Shellのエンコードの変更
- 複数のインプラント
PassiveNeuronでは複数のインプラントの使用が観測されています。
以下のようないくつかのインプラントをPhantom DLL Hijacking技術を使うなどして攻撃環境を構築します。
攻撃段階で利用されるDLLファイルは不要な機構を多数搭載してサイズが100MBを超えるように構成され、通常のセキュリティ対策での対応が難しい状態に仕立てられていました。- Neursite
これは、サイバースパイ活動に使用されるカスタムC++モジュール式バックドアです。
このインプラントそのものにはシステム情報収集機能や実行中のプロセスを管理する機能や通信をプロキシする機能が搭載されています。
そしてさらにモジュールを読み込むことでShellコマンドの実行機能やファイルシステム管理機能やTCPソケット機能も実行することができるようになっていました。
このモジュールはこれまで他の脅威アクターによる利用は確認されていないものです。 - NeuralExecutor
これは、TCP、HTTP/HTTPS、名前付きパイプ、またはWebSocket経由で追加の.NETペイロードをダウンロードして実行するために使用される特注の.NETインプラントです。
このモジュールはこれまで他の脅威アクターによる利用は確認されていないものです。 - Cobalt Strike
レッドチーム演習用の商用ツールであるCobalt Strikeフレームワークも悪用されました。
- Neursite
PassiveNeuronの攻撃キャンペーンは、主にインターネットに公開されているサーバマシンを標的としています。
これらの機器は、標的組織への侵入口となる可能性があるため、通常、APT攻撃をたくらむ脅威アクターにとって格好の標的となります。
安心できる運用体制を維持し、被害にあわないようにしていくことが必要です。
PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations
https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/
| この記事をシェア |
|
|---|
