Жаңа кибершабуыл мемлекеттік және қаржы ұйымдарының серверлерін зақымдауда
Kaspersky GReAT сарапшылары 2024 жылдың желтоқсанынан 2025 жылдың тамызына дейін созылған PassiveNeuron инфекцияларының жаңа толқынын зерттеді. Шабуылдар Азия, Африка және Латын Америкасындағы үкіметтік, қаржылық және өндірістік ұйымдарға әсер етті.
Науқанның айрықша ерекшелігі — негізінен Windows Server операциялық жүйелеріне бағытталған.
Шабуылдардың хронологиясы
«Касперский зертханасы» алғаш рет 2024 жылдың маусымында PassiveNeuron мақсатты науқанын ашты.
Жарты жылдық тыныштықтан кейін зиянкестер 2024 жылдың желтоқсанында жұмысын қайта бастады.
Бұл жолы олар мақсатты желілерге қол жеткізу және қолдау үшін үш негізгі құралды пайдаланды: Cobalt Strike жақтауы және бұрын белгісіз екеуі — Neursite артқы есігі және NeuralExecutor импланты.
Жаңа құралдар
Neursite — бұл модульдік артқы есік, ол жүйелік ақпаратты жинай алады, жұмыс істеп тұрған процестерді басқара алады және желілік трафикті бұзылған хосттар арқылы бағыттай алады, бұл желінің қозғалысын қамтамасыз етеді.
Сыртқы командалық серверлермен де, бұзылған ішкі жүйелермен де деректер алмасатын үлгілер табылды.
NeuralExecutor — бұл бірнеше байланыс әдістерін қолдайтын және бақылау-командалық серверден алынған .NET құрастыруларын жүктей және орындай алатын теңшелген .NET импланты.
Атрибуция
Жаңа науқанды талдау нәтижесінде Kaspersky GReAT сарапшылары бастапқы инфекцияның ретін анықтап, атрибуция туралы болжамдар жасай алды.
Бақыланатын үлгілерде функция атаулары қаскүнемдер әдейі енгізген сияқты кирилл таңбалары бар жолдармен ауыстырылды.
Мұндай артефактілер атрибуция кезінде мұқият бағалауды қажет етеді.
Шабуылдаушылар оларды зерттеушілерді адастыру үшін қолдануы мүмкін.
PassiveNeuron науқанының тактикасын, техникасын және процедураларын (TTPs) талдауға сүйене отырып, Kaspersky GReAT қазіргі уақытта белсенділікті қытай тілді топқа сенімділігі төмен болса да жатқызады.
«Жаңа PassiveNeuron науқанында шабуылдаушылар көбінесе кәсіпорын желілерінің негізін құрайтын серверлерді бұзуға назар аударады.
Мұндай мақсаттар, әсіресе интернеттен қол жетімді, күрделі мақсатты кибершабуылдарды жүзеге асыратын топтар үшін қызығушылық тудырады, өйткені бір бұзылған хост маңызды жүйелерге қол жеткізуді қамтамасыз ете алады.
Шабуылдың ықтимал бетін азайту және ықтимал инфекцияларды анықтау және алдын алу үшін серверлік қолданбаларды үнемі бақылау өте маңызды», — деп түсіндіреді Kaspersky GReAT сарапшысы Георгий Кучерин.
PassiveNeuron науқаны туралы қосымша ақпаратты Securelist.ru сайтынан табуға болады.