Asya, Afrika ve Latin Amerika’da bulunan hükümet, finans ve endüstriyel kuruluşlar, başlıklı yeni bir kampanyanın hedefidir. Pasif NöronKaspersky’nin bulgularına göre.
Siber casusluk faaliyeti ilk olarak Rus siber güvenlik sağlayıcısı tarafından Kasım 2024’te, Neursite ve NeuralExecutor olarak takip edilen, daha önce hiç görülmemiş kötü amaçlı yazılım ailelerini kullanan, Haziran ayında Latin Amerika ve Doğu Asya’daki devlet kurumlarına yönelik bir dizi saldırının ifşa edilmesiyle işaretlendi.
Ayrıca, tehdit aktörlerinin radarın altından uçmak için halihazırda risk altındaki dahili sunucuları bir ara komuta ve kontrol (C2) altyapısı olarak kullanmasıyla, operasyonun yüksek düzeyde bir karmaşıklık sergilediği belirtildi.
Kaspersky, o dönemde “Tehdit aktörü altyapıda yanal olarak hareket ederek verileri sızdırabilir ve isteğe bağlı olarak saldırganların internetten izole edilmiş makinelerden bile ilgilenilen dosyaları çalmasına olanak tanıyan sanal ağlar oluşturabilir.” dedi. “Eklenti tabanlı bir yaklaşım, saldırganın ihtiyaçlarına dinamik uyum sağlar.”
O tarihten bu yana şirket, Aralık 2024’ten bu yana PassiveNeuron ile ilgili yeni bir enfeksiyon dalgası gözlemlediğini ve Ağustos 2025’e kadar devam ettiğini söyledi. Bazı işaretler bunun Çince konuşan tehdit aktörlerinin işi olduğuna işaret etse de, kampanya bu aşamada açıklanamıyor.
En az bir olayda, saldırganın Microsoft SQL aracılığıyla Windows Server çalıştıran, güvenliği ihlal edilmiş bir makinede ilk uzaktan komut yürütme yeteneklerini kazandığı söyleniyor. Bunun tam olarak nasıl başarıldığı bilinmemekle birlikte, saldırganların yönetim hesabı parolasını kaba kuvvetle kullanıyor olması, sunucuda çalışan bir uygulamadaki SQL ekleme kusurundan ya da sunucu yazılımının kendisinde henüz belirlenemeyen bir güvenlik açığından faydalanması mümkündür.
Saldırganlar, kullanılan yönteme bakılmaksızın, temel komut yürütme yeteneklerini kazanmak için bir ASPX web kabuğu dağıtmaya çalıştı. Bu çabaların başarısız olmasıyla, izinsiz giriş, gelişmiş implantların System32 dizinine yerleştirilen bir dizi DLL yükleyici aracılığıyla teslim edilmesine tanık oldu. Bunlar şunları içerir:
- Nörositısmarlama bir C++ modüler arka kapısı
- Sinir YürütücüsüTCP, HTTP/HTTPS, adlandırılmış kanallar veya WebSocket’ler üzerinden ek .NET veri yüklerini indirmek ve bunları yürütmek için kullanılan özel bir .NET implantı
- Kobalt Saldırısımeşru bir düşman simülasyon aracı
Neursite, C2 sunucusuna bağlanmak için yerleşik bir yapılandırma kullanır ve iletişim için TCP, SSL, HTTP ve HTTPS protokollerini kullanır. Varsayılan olarak, yanal hareketi etkinleştirmek için arka kapının bulaştığı diğer makineler aracılığıyla sistem bilgilerini toplama, çalışan işlemleri yönetme ve proxy trafiğini yönetme yeteneğini destekler.
Kötü amaçlı yazılım ayrıca kabuk komutlarının yürütülmesi, dosya sistemi yönetimi ve TCP soket işlemlerinin gerçekleştirilmesi için yardımcı eklentileri getirecek bir bileşenle donatılmış olarak gelir.
Kaspersky ayrıca 2024’te tespit edilen NeuralExecutor varyantlarının C2 sunucu adreslerini doğrudan yapılandırmadan almak üzere tasarlandığını, oysa bu yıl bulunan yapıtların C2 sunucu adresini almak için GitHub deposuna ulaştığını (bu teknik ölü bırakma çözümleyici tekniği olarak anılır) belirtti.
Araştırmacılar Georgy Kucherin ve Saurabh Sharma, “PassiveNeuron kampanyası, öncelikli olarak sunucu makinelerini hedef alması açısından diğerlerinden farklı” dedi. “Bu sunucular, özellikle de internete açık olanlar, genellikle kazançlı hedeflerdir. [advanced persistent threats]Çünkü hedef organizasyonlara giriş noktaları olarak hizmet edebilirler.”