PassiveNeuron қайтару: зиянкестер әртүрлі елдердегі ірі ұйымдардың серверлеріне шабуыл жасады

Kaspersky GReAT сарапшылары 2024 жылдың желтоқсанынан 2025 жылдың тамызына дейін созылған PassiveNeuron инфекцияларының жаңа толқынын зерттеді. Шабуылдар Азия, Африка және Латын Америкасындағы үкіметтік, қаржылық және өндірістік ұйымдарға әсер етті. Науқанның айрықша ерекшелігі — негізінен Windows Server операциялық жүйелеріне бағытталған.

Шабуылдардың хронологиясы. «Касперский зертханасы» алғаш рет 2024 жылдың маусымында PassiveNeuron мақсатты науқанын ашты. Жарты жылдық тыныштықтан кейін зиянкестер 2024 жылдың желтоқсанында жұмысын қайта бастады. Бұл жолы олар мақсатты желілерге қол жеткізу және қолдау үшін үш негізгі құралды пайдаланды: Cobalt Strike жақтауы және бұрын белгісіз екеуі — Neursite артқы есігі және NeuralExecutor импланты.

Жаңа құралдар. Neursite — бұл модульдік артқы есік, ол жүйелік ақпаратты жинай алады, жұмыс істеп тұрған процестерді басқара алады және желілік трафикті бұзылған хосттар арқылы бағыттай алады, бұл желінің қозғалысын қамтамасыз етеді. Сыртқы командалық серверлермен де, бұзылған ішкі жүйелермен де деректер алмасатын үлгілер табылды. NeuralExecutor-бұл бірнеше байланыс әдістерін қолдайтын және бақылау-командалық серверден алынған.NET‑ құрастыруларын жүктей және орындай алатын теңшелген.NET импланты.

Атрибуция. Жаңа науқанды талдау нәтижесінде Kaspersky GReAT сарапшылары бастапқы инфекцияның ретін анықтап, атрибуция туралы болжамдар жасай алды. Бақыланатын үлгілерде функция атаулары қаскүнемдер әдейі енгізген сияқты Кирилл таңбалары бар жолдармен ауыстырылды. Мұндай артефактілер атрибуция кезінде мұқият бағалауды қажет етеді. Шабуылдаушылар оларды зерттеушілерді адастыру үшін қолдануы мүмкін. PassiveNeuron науқанының тактикасын, техникасын және процедураларын (TTPs) талдауға сүйене отырып, Kaspersky GReAT қазіргі уақытта белсенділікті қытай тілді топқа сенімділігі төмен болса да жатқызады.

«Жаңа PassiveNeuron науқанында шабуылдаушылар көбінесе кәсіпорын желілерінің негізін құрайтын серверлерді бұзуға назар аударады. Мұндай мақсаттар, әсіресе интернеттен қол жетімді, күрделі мақсатты кибершабуылдарды жүзеге асыратын топтар үшін қызығушылық тудырады, өйткені бір бұзылған хост маңызды жүйелерге қол жеткізуді қамтамасыз ете алады. Шабуылдың ықтимал бетін азайту және ықтимал инфекцияларды анықтау және алдын алу үшін серверлік қолданбаларды үнемі бақылау өте маңызды», — деп түсіндіреді Kaspersky GReAT сарапшысы Георгий Кучерин.

PassiveNeuron науқаны туралы қосымша ақпаратты Securelist.ru табуға болады

Мақсатты кибершабуылдардан қорғау үшін «Касперский зертханасы» ұйымдарға кеңес береді:

• SOC командаларына зиянкестердің ең жаңа тактикасы, техникасы және процедуралары (TTPs) туралы соңғы ақпаратты беріңіз. Kaspersky Threat Intelligence — 25 жылдан астам уақыт ішінде «Касперский зертханасының» сарапшылары жинаған киберқауіптер туралы барлық деректерге бірыңғай қол жеткізу нүктесі;
• технологиялардың тиімділігі тәуелсіз сынақтарменрасталатын сатушыдан сенімді қорғаныс шешімін қолданыңыз;
• Kaspersky GReAT сарапшыларының онлайн-тренингтерінің көмегімен ішкі киберқауіпсіздік мамандарының біліктілігін арттыру, олар жаңа нысаналы қатерлерге төтеп бере алуы үшін;
• қорғау үшін кешенді шешімді қолданыңыз, мысалыKaspersky Symphony XDR. Бұл ақпараттың орталықтандырылған мониторингі мен талдауы, қауіптерді анықтау мен оларға жауап берудің жетілдірілген мүмкіндіктері мен қауіпсіздік оқиғаларын зерттеу құралдарын біріктіретін көп деңгейлі киберқауіпсіздік платформасы. Шешім кез келген саладағы орта және ірі бизнес үшін жарамды;
• фишинг пен басқа да әлеуметтік инженерия әдістерін қолдана отырып, сәтті шабуылдардың ықтималдығын азайту үшін қызметкерлерге жүйелі түрде тренингтер өткізу, мысалы,Kaspersky Automated Security Awareness Platform онлайн платформасы.