СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
01.11.2025
#Dev#ИБ#Инфра

PassiveNeuron: атаки на Microsoft SQL Server и захват DLL

Кампания по кибершпионажу PassiveNeuron, действующая с 2024 года, демонстрирует смещение акцента злоумышленников с конечных рабочих станций на серверы, обеспечивающие работу корпоративной инфраструктуры. Злоумышленники нацелены преимущественно на интернет-доступные установки Windows Server и используют оппортунистические векторы через SQL-сервера для получения первоначального доступа и дальнейшего закрепления.

Как работают атакующие

По данным анализа, злоумышленники придерживаются многоэтапной тактики, комбинируя несколько методов для доступа и удержания контроля над целями:

  • Первичный доступ через Microsoft SQL Server — попытки «перебора учетных данных», подстановка украденных учетных данных и выполнение инжектов SQL-команд;
  • Использование атипичных SQL-команд и шаблонов входа, характерных для попыток взлома административных аккаунтов;
  • При неудаче первичных векторов — переход на цепочки загрузчиков DLL (DLL chaining) и использование резервных механизмов доступа;
  • Для закрепления применяется метод, известный как phantom DLL Hijacking: размещение библиотек DLL с ненормальными размерами файлов или именами в критически важных системных каталогах;
  • Для командования и контроля (C2) и перемещения внутри корпоративной сети злоумышленники используют Cobalt Strike и пользовательские загрузчики, в том числе NeuralExecutor, который извлекает конфигурацию из общедоступных источников, включая GitHub.

«Вместо опоры на одну общеизвестную уязвимость злоумышленники используют многоэтапный подход, включающий пользовательские загрузчики и имплантаты, демонстрирующие их изощренность и закрепление», — говорится в отчёте.

Ключевые риски

Кампания ставит под угрозу организации по нескольким направлениям:

  • Незащищённые Microsoft SQL Server становятся точкой входа, что может привести к полной компрометации системы и lateral movement внутри сети;
  • Использование общедоступного GitHub в качестве канала C2 позволяет обходить традиционные средства сетевого управления и усложняет обнаружение;
  • Применение техник с DLL-файлами (включая phantom DLL Hijacking) затрудняет обнаружение вредоносных артефактов, поскольку они маскируются под системные компоненты;
  • Злоумышленники используют известные инструменты (Cobalt Strike) и кастомные загрузчики, что повышает вероятность успешной эксфильтрации данных и длительного пребывания в сети жертвы.

Рекомендации для CISO и команд безопасности

Эксперты настоятельно рекомендуют немедленно принять следующие меры для снижения вероятности успешной атаки и быстрого обнаружения компрометации:

  • Исправление (patching) и жёсткая защита экземпляров Microsoft SQL Server — обновления, минимизация поверхности атаки;
  • Закрытие ненужных портов и ограничение доступа по сети (firewall, сегментация);
  • Отключение неиспользуемых процедур и механизма xp_cmdshell, ограничение привилегий аккаунтов;
  • Принудительное применение строгой аутентификации — обязательное использование MFA для всех привилегированных учётных записей;
  • Поиск и анализ аномалий в библиотечных файлах: сканирование системных папок на предмет DLL с необычными размерами или именами;
  • Блокировка и мониторинг известных каналов C2 и индикаторов, связанных с Cobalt Strike и кастомными загрузчиками;
  • Интеграция снабжаемых threat intelligence индикаторов в процессы SOC для приоритизации расследований и автоматизации реагирования.

Рекомендации по обнаружению (Detection)

Для выявления активности кампании специалисты советуют сконцентрироваться на следующих направлениях телеметрии и правилах детекции:

  • Мониторинг телеметрии SQL на предмет неожиданных административных команд и аномальных шаблонов входа — попытки массового перебора, логины из необычных гео-локаций или по времени;
  • Сканирование системных каталогов на наличие сомнительных DLL (по размерам, именам, временам создания/изменения);
  • Сопоставление сетевой телеметрии с индикаторами Cobalt Strike для уменьшения числа ложных срабатываний;
  • Отслеживание обращений к публичным репозиториям (например, GitHub) из внутренних хостов и детекция нестандартных паттернов загрузки конфигурации;
  • Энрихмент алертов с контекстом кампании для ускорения triage и сокращения времени на реагирование.

Вывод

Кампания PassiveNeuron подчёркивает эволюцию угроз: атакующие смещают фокус на критические серверные компоненты, применяют многоступенчатые цепочки загрузки и используют публичные сервисы как скрытые каналы C2. Проактивные меры — жесткая защита SQL-инфраструктуры, многофакторная аутентификация, мониторинг подозрительных DLL и интеграция threat intelligence — необходимы для уменьшения вероятности успешных атак и быстрого сдерживания компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: