PasifNeuron adı verilen karmaşık bir siber casusluk kampanyası, aylarca süren uykunun ardından gölgelerden ortaya çıktı ve güvenlik araştırmacıları, operasyonları ve saldırı yöntemleri hakkında yeni ayrıntılar ortaya çıkardı.
İlk olarak Haziran 2024’te tespit edilen kampanya, daha önce bilinmeyen kötü amaçlı yazılım implantasyonlarıyla Asya, Afrika ve Latin Amerika’daki hükümetleri, finans ve sanayi kuruluşlarını hedef alarak yenilenmiş bir güçle yeniden ortaya çıktı.
Güvenlik araştırmacıları, PassiveNeuron saldırganlarının öncelikle hedef ağlara ilk erişim sağlamak için Microsoft SQL sunucularından yararlandığını tespit etti.
Kampanya, kötü amaçlı komutları yürütmek için Windows Server makinelerini tehlikeye atmayı, SQL yazılımındaki güvenlik açıklarından yararlanmayı veya veritabanı yönetimi kimlik bilgilerini kaba kuvvetle zorlamayı açıkça tercih ediyor.
Saldırganlar içeri girdikten sonra tutunabilecekleri yerleri korumak için ASPX web kabuklarını dağıtıyorlar, ancak güvenlik çözümleri bu erken aşamadaki dağıtım girişimlerini sıklıkla sekteye uğratıyor.
Saldırının karmaşık doğası, düşmanın ısrarı incelendiğinde ortaya çıkıyor. Saldırganlar, web kabuklarının tespit edilmesiyle karşı karşıya kaldıklarında, konuşlandırma tekniklerini defalarca değiştirerek olağanüstü bir uyum yeteneği sergilediler.
Base64 ile onaltılık kodlama arasında geçiş yaptılar, PowerShell’den VBS komut dosyalarına geçiş yaptılar ve güvenlik ürünlerinden kaçınmak için satır satır yazma yöntemlerini kullandılar.
Özel Kötü Amaçlı Yazılım Arsenal
PassiveNeuron kampanyası üç farklı kötü amaçlı implant kullanıyor: Neursite, NeuralExecutor ve ticari Cobalt Strike çerçevesi.
Özel bir C++ modüler arka kapısı olan Neursite, cephanelikteki en gelişmiş silah olarak öne çıkıyor. İmplant, birden fazla C2 sunucusu, HTTP proxy desteği ve hatta haftanın belirli saat ve günlerine göre planlanmış operasyonel pencereleri içeren kapsamlı bir yapılandırma sistemine sahiptir.
Eklenti mimarisi, saldırganların kabuk komut yürütme, dosya sistemi yönetimi ve TCP soket işlemleri için ek yetenekleri dinamik olarak yüklemesine olanak tanır.
İkinci özel implant olan NeuralExecutor, ConfuserEx obfuscator tarafından korunan .NET tabanlı bir yükleyicidir. Bu araç, TCP, HTTP/HTTPS, adlandırılmış kanallar ve WebSockets gibi çoklu iletişim protokollerini kullanarak komut ve kontrol sunucularından ek .NET yüklerini alma ve yürütme konusunda uzmanlaşmıştır.
2025’te keşfedilen en son sürümler, tespit çalışmalarını karmaşık hale getirmek için GitHub depolarından C2 adreslerini alan Dead Drop Resolver tekniğini içeriyor.
Her iki implant da, analizi engellemek için yapay olarak 100 MB’ın üzerine çıkarılan ilk aşama DLL’lerin yer aldığı ayrıntılı bir DLL yükleyici zinciri yoluyla dağıtılır.
Kötü amaçlı yazılım, otomatik kalıcılık için Phantom DLL Hijacking’i kullanıyor ve sistem başlatma sırasında otomatik olarak yüklenen özel olarak adlandırılmış DLL’leri System32 dizinine yerleştiriyor.
Kritik olarak, bu yükleyiciler, korumalı alan analizini önlemek için yalnızca amaçlanan kurban makinelerde yürütülmesini sağlayan MAC adresi doğrulama kontrollerini içerir.
Potansiyel yanlış işaretler nedeniyle ilişkilendirme zorlu olmaya devam etse de araştırmacılar, Çince konuşan tehdit aktörlerine işaret eden çeşitli göstergeler tespit etti.
2025 NeuralExecutor örnekleri, GitHub’dan, daha önce APT31 ve APT27 gruplarına bağlı olan EastWind kampanyasında kullanılan tekniklere çok benzeyen bir yapılandırma alma yöntemini kullanıyor. Ayrıca araştırmacılar, APT41 etkinlikleriyle ilgili önceki raporlarda başvurulan PDB yoluna sahip kötü amaçlı bir DLL keşfetti.
İlginçtir ki, 2024’ün başlarındaki örnekler, araştırmacıların ihtiyatlı bir şekilde potansiyel yanıltıcı işaretler olarak ele aldığı “Супер обфускатор” veya “Süper şaşırtmaca” yazan Rusça dizeler içeriyordu. Bu dizelerin 2025 sürümlerinde ortadan kaybolması, saldırganların operasyonel güvenlik uygulamalarını geliştirmiş olabileceğini gösteriyor.
6 Aylık Sessizlik Bozuldu
PassiveNeuron, Haziran 2024’teki ilk keşfinin ardından yaklaşık altı ay boyunca sessiz kaldı ve Aralık 2024’te yeniden ortaya çıktı.
Güçlü SQL enjeksiyon savunmalarının uygulanması, sunucu uygulamalarının dikkatli bir şekilde izlenmesinin sürdürülmesi ve kapsamlı web kabuğu algılama yeteneklerinin dağıtılması, PassiveNeuron ve benzeri gelişmiş kalıcı tehditlere karşı savunma için temel adımlardır.
Bu yeni enfeksiyon dalgası Ağustos 2025’e kadar devam etti ve tehdit aktörünün casusluk hedeflerine olan bağlılığını ve kararlılığını gösterdi.
Kampanyanın hedeflenen doğası, MAC adresi filtreleme ve sunucuya özel dağıtım stratejilerinin kullanımında açıkça görülüyor; bu da fırsatçı saldırılardan ziyade belirli yüksek değerli kuruluşlara karşı istihbarat toplandığını gösteriyor.
Güvenlik uzmanları, kuruluşların özellikle potansiyel giriş noktası olarak hizmet veren internete yönelik makineler için sunucu korumasına öncelik vermesi gerektiğini vurguluyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.