Các tổ chức chính phủ, tài chính và công nghiệp ở châu Á, châu Phi và Mỹ Latinh đang là mục tiêu của một chiến dịch mới có tên PassiveNeuron, theo phát hiện từ Kaspersky.
Hoạt động gián điệp mạng này lần đầu tiên được nhà cung cấp an ninh mạng của Nga cảnh báo vào tháng 11 năm 2024, khi họ tiết lộ một loạt các cuộc tấn công nhắm vào các thực thể chính phủ ở Mỹ Latinh và Đông Á vào tháng 6, sử dụng các họ mã độc chưa từng thấy trước đây được theo dõi là Neursite và NeuralExecutor.
Hoạt động này cũng được mô tả là có mức độ tinh vi cao, với các tác nhân đe dọa tận dụng các máy chủ nội bộ đã bị xâm nhập làm cơ sở hạ tầng command-and-control (C2) trung gian để tránh bị phát hiện.
"Tác nhân đe dọa có khả năng di chuyển ngang qua cơ sở hạ tầng và đánh cắp dữ liệu, tùy chọn tạo các mạng ảo cho phép kẻ tấn công lấy cắp các tệp quan trọng ngay cả từ các máy bị cô lập khỏi internet," Kaspersky lưu ý vào thời điểm đó. "Một phương pháp tiếp cận dựa trên plugin cung cấp khả năng thích ứng động với nhu cầu của kẻ tấn công."
Kể từ đó, công ty cho biết họ đã quan sát thấy một làn sóng lây nhiễm mới liên quan đến PassiveNeuron từ tháng 12 năm 2024 và kéo dài đến tháng 8 năm 2025. Chiến dịch này vẫn chưa được gán cho một nhóm cụ thể nào vào thời điểm hiện tại, mặc dù một số dấu hiệu cho thấy đây có thể là công việc của các tác nhân đe dọa nói tiếng Trung.
Trong ít nhất một sự cố, đối thủ được cho là đã giành được khả năng thực thi lệnh từ xa ban đầu trên một máy bị xâm nhập chạy Windows Server thông qua Microsoft SQL. Mặc dù phương pháp chính xác để đạt được điều này vẫn chưa được biết, nhưng có khả năng kẻ tấn công đang tấn công brute-force mật khẩu tài khoản quản trị, hoặc khai thác lỗ hổng SQL injection trong một ứng dụng chạy trên máy chủ, hoặc một vulnerability chưa xác định trong chính phần mềm máy chủ.
Bất kể phương pháp được sử dụng là gì, những kẻ tấn công đã cố gắng triển khai một ASPX web shell để giành được khả năng thực thi lệnh cơ bản. Thất bại trong những nỗ lực này, vụ xâm nhập đã chứng kiến việc phân phối các implant tiên tiến thông qua một loạt các DLL loader được đặt trong thư mục System32. Chúng bao gồm -
- Neursite, một backdoor mô-đun C++ tùy chỉnh
- NeuralExecutor, một implant .NET tùy chỉnh được sử dụng để tải xuống các payload .NET bổ sung qua TCP, HTTP/HTTPS, named pipes hoặc WebSockets và thực thi chúng
- Cobalt Strike, một công cụ mô phỏng đối thủ hợp pháp
Neursite sử dụng cấu hình nhúng để kết nối với máy chủ C2 và sử dụng các giao thức TCP, SSL, HTTP và HTTPS để liên lạc. Theo mặc định, nó hỗ trợ khả năng thu thập thông tin hệ thống, quản lý các tiến trình đang chạy và proxy lưu lượng truy cập qua các máy khác bị nhiễm backdoor để cho phép lateral movement.
Mã độc này cũng được trang bị một thành phần để tìm nạp các plugin phụ trợ nhằm thực hiện shell command execution, file system management và các hoạt động TCP socket.
Kaspersky cũng lưu ý rằng các biến thể NeuralExecutor được phát hiện vào năm 2024 được thiết kế để lấy địa chỉ máy chủ C2 trực tiếp từ cấu hình, trong khi các artifact được tìm thấy trong năm nay thì liên hệ với một kho lưu trữ GitHub để lấy địa chỉ máy chủ C2 — một kỹ thuật được gọi là dead drop resolver technique.
"Chiến dịch PassiveNeuron đã trở nên đặc biệt ở chỗ nó chủ yếu nhắm mục tiêu vào các máy chủ," các nhà nghiên cứu Georgy Kucherin và Saurabh Sharma cho biết. "Những máy chủ này, đặc biệt là những máy chủ tiếp xúc với internet, thường là mục tiêu béo bở cho [advanced persistent threats], vì chúng có thể đóng vai trò là điểm truy cập vào các tổ chức mục tiêu."
