Дослідники «Лабораторії Касперського» повідомили про нову хвилю діяльності групи PassiveNeuron, що тривала з грудня 2024 до серпня 2025 року. Мішенями стали урядові установи, фінансові організації та промислові підприємства в Азії, Африці та Латинській Америці. Ключовий акцент кампанії — серверні операційні системи, насамперед Windows Server, що збільшує ризик доступу до критичних вузлів корпоративної мережі.
Нова хвиля PassiveNeuron: часові рамки та географія
Перші індикатори кампанії фіксувалися ще у червні 2024 року. Після паузи зловмисники суттєво посилили інструментарій і відновили активність у грудні 2024-го, підтримуючи її до серпня 2025-го. Ширина охоплення від держсектору до виробництва вказує на стратегічну мету — довготривалу присутність у мережах жертв і контроль над серверними ролями.
Первинний вектор: компрометація Microsoft SQL і серверів Windows
В окремих епізодах зафіксовано віддалене виконання команд на скомпрометованих хостах через Microsoft SQL Server. На практиці це часто реалізують шляхом зловживання xp_cmdshell або користувацькими CLR-збірками: СУБД передає системні команди від імені сервісного облікового запису, що відкриває шлях до закріплення й бокового переміщення. Така модель відповідає поширеним тактикам MITRE ATT&CK — зловживання серверними компонентами й командними інтерпретаторами.
Інструментарій кампанії: Cobalt Strike, Neursite та NeuralExecutor
Для доступу та утримання в інфраструктурі оператори PassiveNeuron поєднували Cobalt Strike з двома раніше неописаними інструментами — бекдором Neursite та .NET-імплантом NeuralExecutor. Комбінація «готового» фреймворку і кастомних модулів підвищує гнучкість і знижує помітність для традиційних сигнатурних засобів захисту.
Neursite: модульний бекдор і внутрішня маршрутизація
Neursite збирає системну інформацію, керує процесами та організовує тунелювання трафіку через уже скомпрометовані вузли. Виявлено зразки, що взаємодіють як із зовнішніми C2, так і з внутрішніми зараженими системами. Це спрощує боковий рух, створення стійких проксі-ланцюгів усередині периметра та приховане адміністрування інфраструктури жертви.
NeuralExecutor: .NET-імплант із гнучкими каналами зв’язку
NeuralExecutor — кастомізований .NET-імплант, що підтримує кілька методів зв’язку із C2 і може динамічно підвантажувати та виконувати .NET-збірки. Такий підхід мінімізує сліди на диску, ускладнює реверс-інжиніринг і дозволяє обходити рішення, орієнтовані на статичні сигнатури.
Атрибуція та «ложні прапори» у коді
Під час аналізу виявлено артефакти з кириличними рядками в іменах функцій. Дослідники розглядають їх як потенційні ложні прапори, що ускладнюють атрибуцію. Наразі, за сукупністю тактик, технік і процедур, активність обережно співвідносять із китайськомовним середовищем з низьким рівнем упевненості.
Як захистити Windows Server і SQL: практичні кроки
Зменшуйте площу атаки: обмежте доступ до Microsoft SQL та інших серверних сервісів за принципом найменших привілеїв, впроваджуйте жорстку сегментацію мережі, уникайте прямої доступності критичних вузлів з інтернету. Для SQL-серверів — вимикайте xp_cmdshell, регулюйте зовнішній доступ за списками дозволених IP і дотримуйтеся суворого розмежування ролей.
Підсилюйте моніторинг і реагування: застосовуйте EDR/XDR з поведінковими детекторами ознак Cobalt Strike, відстежуйте нетипові завантаження .NET-збірок і створення тунелів. Увімкніть аудити SQL (зокрема виклики розширених збережених процедур), контролюйте створення/зміни служб і завдань планувальника.
Базова гігієна та стійкість: своєчасно оновлюйте ОС і СУБД, використовуйте MFA для адмінських обліковок, запроваджуйте контроль застосунків, захищайте облікові дані сервісних акаунтів, регулярно проводьте пентести та проактивний threat hunting.
Фокус PassiveNeuron на серверах, особливо на Windows Server, доступних з інтернету, підкреслює: саме серверні ролі лишаються найбільш привабливою мішенню для APT. Організаціям варто проактивно скорочувати експозицію сервісів, системно запроваджувати сегментацію й моніторинг поведінки та періодично перевіряти TTP, пов’язані з Cobalt Strike, модульними бекдорами і .NET-імплантами. Посильте контроль сьогодні — щоб завтра не розслідувати інцидент.
