«Лаборатория Касперского» предупредила хакерах PassiveNeuron, атакующих серверы правительственных и финансовых организаций в разных странах

Специалисты Kaspersky GReAT выявили новую волну активности кибергруппировки PassiveNeuron. С декабря 2024 года по август 2025 года хакеры атаковали правительственные, финансовые и промышленные организации в странах Азии, Африки и Латинской Америки. Как отмечают эксперты, на этот раз злоумышленники сосредоточились на компрометации серверов, работающих на базе Windows Server, что делает кампанию особенно опасной.

Изначально о группе PassiveNeuron стало известно в июне 2024 года, когда были зафиксированы первые целенаправленные атаки. После периода затишья, продолжавшегося около полугода, злоумышленники вернулись с усовершенствованным арсеналом и новыми целями. При этом атакующая инфраструктура расширилась за счёт трёх инструментов: хорошо известного фреймворка Cobalt Strike и двух новых — модульного бэкдора Neursite и .NET-импланта NeuralExecutor.

Neursite обладает широкими возможностями: сбор системной информации, управление процессами, проксирование трафика через захваченные хосты и перемещение по внутренней сети без привлечения внимания. Он использует как внешние командные серверы, так и заражённые внутренние узлы для устойчивого присутствия в инфраструктуре.

NeuralExecutor, в свою очередь, представляет собой настраиваемый .NET-имплант с поддержкой загрузки и выполнения дополнительных сборок .NET, что позволяет гибко управлять функциональностью во время атаки.

Эксперты Kaspersky GReAT проанализировали заражения и отметили, что злоумышленники фокусируются на серверах, открытых для доступа из интернета. Такой подход делает возможным получение полного контроля над корпоративной сетью через одну точку входа. По мнению аналитиков, это типичная тактика сложных целевых атак, при которых через взлом одной уязвимой системы обеспечивается движение внутри критически важной инфраструктуры.

В артефактах кампании были замечены строки с кириллическими символами, использованные в именах функций. В Kaspersky говорят, что подобные элементы могли быть внедрены намеренно, чтобы ввести аналитиков в заблуждение и затруднить точную атрибуцию. Тем не менее, на основе совокупности применённых техник и наблюдаемых шаблонов атак, в компании склоняются к версии о связи кампании с китайскоязычной APT-группой, хотя степень уверенности остаётся низкой.

По словам Георгия Кучерина, эксперта Kaspersky GReAT, текущая волна атак ещё раз подтверждает, что инфраструктура серверного уровня остаётся приоритетной целью для киберпреступников. Он подчёркивает важность контроля за внешними точками доступа и постоянного мониторинга приложений, работающих на серверной стороне.