Overheids-, financiële en industriële organisaties in Azië, Afrika en Latijns-Amerika zijn het doelwit van een nieuwe campagne genaamd PassiefNeuronDat blijkt uit bevindingen van Kaspersky.
De cyberspionageactiviteit werd voor het eerst opgemerkt door de Russische cyberbeveiligingsleverancier in november 2024, toen deze in juni een reeks aanvallen openbaarde gericht op overheidsinstanties in Latijns-Amerika en Oost-Azië, waarbij gebruik werd gemaakt van nog nooit eerder vertoonde malwarefamilies, gevolgd als Neursite en NeuralExecutor.
Het beschreef ook dat de operatie een hoog niveau van verfijning vertoonde, waarbij de bedreigingsactoren reeds gecompromitteerde interne servers gebruikten als een tussenliggende command-and-control (C2)-infrastructuur om onder de radar te blijven.
“De dreigingsactor kan zich zijdelings door de infrastructuur bewegen en gegevens exfiltreren, en optioneel virtuele netwerken creëren waarmee aanvallers interessante bestanden kunnen stelen, zelfs van machines die geïsoleerd zijn van internet”, merkte Kaspersky destijds op. “Een op plug-ins gebaseerde aanpak biedt dynamische aanpassing aan de behoeften van de aanvaller.”
Sindsdien zegt het bedrijf dat het sinds december 2024 een nieuwe golf van infecties heeft waargenomen die verband houden met PassiveNeuron en die zich voortzet tot en met augustus 2025. De campagne wordt in dit stadium nog steeds niet toegeschreven, hoewel sommige tekenen erop wijzen dat deze het werk is van Chineessprekende dreigingsactoren.
Bij ten minste één incident zou de tegenstander aanvankelijke mogelijkheden hebben verworven om opdrachten op afstand uit te voeren op een gecompromitteerde machine waarop Windows Server draait via Microsoft SQL. Hoewel de exacte methode waarmee dit wordt bereikt niet bekend is, is het mogelijk dat de aanvallers het wachtwoord van de beheerdersaccount op brute wijze forceren, of gebruik maken van een SQL-injectiefout in een applicatie die op de server draait, of van een nog onbepaalde kwetsbaarheid in de serversoftware zelf.
Ongeacht de gebruikte methode probeerden de aanvallers een ASPX-webshell in te zetten om basismogelijkheden voor het uitvoeren van opdrachten te verkrijgen. Bij gebrek aan deze inspanningen was de inbraak getuige van de levering van geavanceerde implantaten via een reeks DLL-laders die in de System32-directory waren geplaatst. Deze omvatten –
- Neursiteeen op maat gemaakte modulaire achterdeur in C++
- Neurale Uitvoerdereen op maat gemaakt .NET-implantaat dat wordt gebruikt voor het downloaden van extra .NET-payloads via TCP, HTTP/HTTPS, Named Pipes of WebSockets en deze uit te voeren
- Kobaltaanvaleen legitieme simulatietool voor tegenstanders
Neursite maakt gebruik van een ingebedde configuratie om verbinding te maken met de C2-server en gebruikt TCP-, SSL-, HTTP- en HTTPS-protocollen voor communicatie. Standaard ondersteunt het de mogelijkheid om systeeminformatie te verzamelen, lopende processen te beheren en verkeer via andere machines die met de achterdeur zijn geïnfecteerd, te proxy-verkeer om laterale beweging mogelijk te maken.
De malware is ook uitgerust met een component om hulpplug-ins op te halen om shell-opdrachten uit te voeren, bestandssysteembeheer en TCP-socketbewerkingen uit te voeren.
Kaspersky merkte ook op dat NeuralExecutor-varianten die in 2024 werden gesignaleerd, waren ontworpen om de C2-serveradressen rechtstreeks uit de configuratie op te halen, terwijl artefacten die dit jaar werden gevonden contact opnemen met een GitHub-repository om het C2-serveradres te verkrijgen – een techniek die de dead drop-resolver-techniek wordt genoemd.
“De PassiveNeuron-campagne onderscheidt zich door de manier waarop deze zich primair op servermachines richt”, aldus onderzoekers Georgy Kucherin en Saurabh Sharma. “Deze servers, vooral degene die zijn blootgesteld aan internet, zijn meestal lucratieve doelwitten voor (geavanceerde aanhoudende bedreigingen), omdat ze kunnen dienen als toegangspunten tot doelorganisaties.”
