卡巴斯基(Kaspersky)的研究结果显示,一场名为 “被动神经元”(PassiveNeuron)的新网络活动,正将目标对准亚洲、非洲和拉丁美洲的政府、金融及工业领域机构。
这家俄罗斯网络安全厂商最早在 2024 年 11 月就标记了该网络间谍活动。当时卡巴斯基披露,2024 年 6 月曾出现一系列针对拉丁美洲和东亚政府实体的攻击,攻击中使用了两款此前从未发现过的恶意软件家族,分别被标记为 Neursite 和 NeuralExecutor。
卡巴斯基还表示,该行动展现出极高的技术复杂度:威胁行为者将已入侵的内部服务器用作中间命令与控制(C2)基础设施,以此躲避监测。
卡巴斯基当时指出:“威胁行为者能够在目标基础设施内横向移动并窃取数据,还可选择性创建虚拟网络 —— 即便目标机器与互联网隔离,攻击者也能通过这些虚拟网络窃取重要文件。其采用的插件化架构,能根据攻击者的需求动态调整功能。”
卡巴斯基称,自那以后,从 2024 年 12 月起至 2025 年 8 月,公司观测到与 “被动神经元” 相关的新一轮感染浪潮。
在至少一起事件中,攻击者被证实已在一台运行 Windows Server 的受入侵机器上,通过微软 SQL 获得了初始远程命令执行权限。尽管实现这一操作的确切方法尚不清楚,但推测可能存在三种途径:一是暴力破解管理员账户密码;二是利用服务器上运行的应用程序中的 SQL 注入漏洞;三是利用服务器软件本身尚未被发现的漏洞。
无论采用何种方式,攻击者都曾尝试部署 ASPX 网页后门,以获取基础命令执行权限。在该尝试失败后,攻击者通过在 System32 目录中放置一系列 DLL 加载器,投放了多款高级植入程序,包括:
- Neursite:一款定制化 C++ 模块化后门程序
- NeuralExecutor:一款定制化.NET 植入程序,可通过 TCP、HTTP/HTTPS、命名管道或 WebSocket 下载额外的.NET 有效载荷并执行
- Cobalt Strike:一款合法的 adversary simulation(对手模拟)工具
Neursite 通过内置配置连接 C2 服务器,通信时使用 TCP、SSL、HTTP 和 HTTPS 协议。默认情况下,它具备收集系统信息、管理运行中进程、通过其他受该后门感染的机器代理流量以实现横向移动的功能。
该恶意软件还配备了一个组件,可获取辅助插件,以实现 Shell 命令执行、文件系统管理和 TCP 套接字操作。
卡巴斯基还发现,2024 年检测到的 NeuralExecutor 变种,设计为直接从配置中读取 C2 服务器地址;而今年发现的该恶意软件样本,则会连接 GitHub 仓库获取 C2 服务器地址 —— 这实际上将这个合法的代码托管平台变成了 “死信解析器”(dead drop resolver,一种隐藏通信方式)。
研究人员格奥尔基・库彻林(Georgy Kucherin)与索拉布・夏尔马(Saurabh Sharma)表示:“‘被动神经元’活动的显著特点是,其主要针对服务器设备。这些服务器,尤其是暴露在互联网上的服务器,通常是高级持续性威胁(APT)的高价值目标,因为它们可作为入侵目标机构的入口点。”
消息来源:thehackernew;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容