Исследователи «Лаборатории Касперского» зафиксировали новую волну активности группировки PassiveNeuron, продолжавшуюся с декабря 2024 по август 2025 года. По их данным, атаки были направлены против правительственных, финансовых и промышленных организаций в Азии, Африке и Латинской Америке. Ключевой особенностью кампании стала нацеленность на серверные ОС, прежде всего на Windows Server, что повышает риск компрометации критичных узлов корпоративной сети.
Хронология и география атак PassiveNeuron
Первое обнаружение кампании относится к июню 2024 года. После краткой паузы злоумышленники возобновили операции в декабре 2024-го, расширив набор инструментов и устойчивость присутствия в целевых сетях. Масштаб охвата — от государственных учреждений до финансового сектора и производственных площадок — указывает на стратегическую природу операций и интерес к долгосрочному доступу.
Вектор проникновения: Microsoft SQL и компрометация серверов
В одном из эпизодов нападавшие удаленно выполняли команды на скомпрометированном хосте через Microsoft SQL. На практике такие атаки часто реализуются через встроенные возможности СУБД, например xp_cmdshell или пользовательские CLR‑сборки, что позволяет вызывать системные команды от имени сервисного аккаунта базы данных. Подобные техники соответствуют известным паттернам MITRE ATT&CK: злоупотребление серверными компонентами и выполнение команд для последующего закрепления и бокового перемещения.
Инструментарий группы: Cobalt Strike, Neursite и NeuralExecutor
Для доступа и удержания в инфраструктуре PassiveNeuron применяла Cobalt Strike и два новых для исследователей инструмента: бэкдор Neursite и .NET‑имплант NeuralExecutor. Такое сочетание указывает на баланс между «готовым» офензивным фреймворком и кастомными средствами, снижает детектируемость и повышает гибкость операций.
Neursite: модульный бэкдор и маршрутизация трафика
Neursite — модульный бэкдор, предназначенный для сбора системной информации, управления процессами и туннелирования сетевого трафика через уже скомпрометированные узлы. Исследователи обнаружили образцы, общающиеся как с внешними C2‑серверами, так и со внутренними скомпрометированными системами, что упрощает перемещение по сети и создание устойчивых прокси‑цепочек внутри периметра.
NeuralExecutor: .NET‑имплант с гибкими каналами связи
NeuralExecutor — кастомизированный .NET‑имплант с несколькими методами связи. Он может загружать и исполнять .NET‑сборки, доставленные с C2, тем самым подгружая функциональные модули по требованию оператора. Такой подход сокращает «шум» на диске, усложняет анализ и облегчает обход традиционных средств защиты, ориентированных на статические сигнатуры.
Атрибуция и возможные «ложные флаги»
В ходе анализа обнаружены артефакты, где имена функций подменены строками с кириллическими символами. Исследователи отмечают, что подобные элементы могут использоваться как ложные флаги, намеренно усложняющие атрибуцию. На текущем этапе, опираясь на совокупность тактик, техник и процедур (TTP), активность с осторожностью сопоставляется с китайскоязычной группой, но с низкой степенью уверенности.
Рекомендации по защите инфраструктуры Windows Server
Минимизируйте поверхность атаки: ограничьте доступ к Microsoft SQL и иным серверным сервисам по принципу наименьших привилегий, сегментируйте сети, исключите прямую доступность критичных узлов из интернета. Для SQL‑серверов — отключите xp_cmdshell, ограничьте внешний доступ, применяйте контролируемые списки IP и строгое разграничение ролей.
Усиление мониторинга и реагирования: используйте EDR/XDR с поведенческими детекторами Cobalt Strike‑подобных артефактов, отслеживайте аномальные загрузки .NET‑сборок и нетипичные сетевые туннели. Включите журналы аудита SQL (включая выполнение расширенных хранимых процедур), контролируйте создание/изменение служб и планировщика заданий.
Базовая гигиена и устойчивость: регулярно устанавливайте обновления ОС и СУБД, применяйте многофакторную аутентификацию для администраторских учетных записей, внедряйте контроль приложений, защищайте учетные данные сервисных аккаунтов, периодически проводите тесты на проникновение и проактивный Threat Hunting.
Новая волна PassiveNeuron демонстрирует, что серверы — особенно Windows Server, доступные из интернета — остаются первоочередной целью целевых операторов. По оценке экспертов Kaspersky GReAT, концентрация на серверных приложениях повышает шанс получить доступ к критическим системам, поэтому организациям важно проактивно сокращать экспозицию и непрерывно мониторить серверные роли. Сейчас оптимальный подход — комплексная защита: жесткая сегментация, отказ от небезопасных функций в СУБД, поведенческий мониторинг и регулярные проверки TTP, ассоциированных с Cobalt Strike, модульными бэкдорами и .NET‑имплантами. Усильте контроль сегодня, чтобы завтра не расследовать инцидент.
