Кампания PassiveNeuron: таргетированные атаки на серверы государственных и финансовых организаций

Исследование показало, что основными целями атак становятся серверы под управлением Windows Server, при этом начальное проникновение в большинстве случаев осуществляется через уязвимости в программном обеспечении Microsoft SQL. Злоумышленники используют три основных вектора атаки: эксплуатацию уязвимостей в самом серверном ПО, использование SQL-инъекций в веб-приложениях и подбор учетных данных администратора базы данных.

После получения удаленного выполнения кода через SQL-программное обеспечение злоумышленники пытались развернуть веб-шелл ASPX для выполнения базовых команд. Однако установленные решения безопасности эффективно блокировали эти попытки, вынуждая атакующих многократно менять тактику. Они экспериментировали с различными методами кодирования полезной нагрузки (Base64, шестнадцатеричное кодирование) и использовали разные скриптовые языки (PowerShell, VBS), пытаясь обойти защитные механизмы.

Не сумев успешно развернуть веб-шелл, злоумышленники перешли к использованию более сложных имплантов. В ходе кампании PassiveNeuron применялись три основных типа вредоносного ПО: бэкдор Neursite на C++, загрузчик .NET NeuralExecutor и фреймворк Cobalt Strike для операций красной команды.

Особенностью кампании стала сложная цепочка загрузки вредоносных компонентов. Первоначальный загрузчик в виде DLL-библиотеки размещался в системных директориях Windows под именами легитимных файлов, таких как wlbsctrl.dll, TSMSISrv.dll и oci.dll. Это позволяло автоматически обеспечивать устойчивость благодаря технике Phantom DLL Hijacking - данные библиотеки автоматически загружаются системными процессами при запуске.

Размер этих DLL-файлов превышал 100 МБ, что достигалось добавлением мусорных данных с целью затруднить обнаружение средствами безопасности. Загрузчик содержал дополнительную проверку целевой системы через хеши MAC-адресов сетевых адаптеров, что предотвращало запуск на непредназначенных машинах и в песочницах.

Бэкдор Neursite демонстрирует высокую сложность реализации и широкий функционал для кибершпионажа. Его конфигурация включает списки командных серверов, прокси-серверов, HTTP-заголовков и временные ограничения активности. Имплант поддерживает multiple протоколы связи (TCP, SSL, HTTP, HTTPS) и может работать как в режиме инициации соединения, так и в режиме прослушивания входящих подключений.

NeuralExecutor, второй кастомный имплант, написан на .NET и использует обфускатор ConfuserEx для защиты от анализа. Его основная функция - загрузка и выполнение дополнительных .NET-сборок, полученных из сети, что делает его чрезвычайно гибким инструментом для расширения функциональности.

Вопрос атрибуции кампании представляет особую сложность. В ранних образцах NeuralExecutor 2024 года присутствовали строки на русском языке "Супер обфускатор", однако в новых образцах 2025 года эти строки исчезли. Вместо этого появилась техника Dead Drop Resolver, при которой конфигурация извлекается из файлов в репозитории GitHub - метод, характерный для китайскоязычных угрозовых акторов.

Исследователи также обнаружили связь с деятельностью APT41 через анализ путей отладочной информации в одном из загрузчиков. Однако наличие преднамеренных ложных флагов значительно осложняет точную атрибуцию. На текущий момент кампания PassiveNeuron с низкой степенью уверенности приписывается китайскоязычной угрозовой группе, преимущественно на основе анализа тактик, техник и процедур (TTP), которые сложнее подделать, чем отдельные индикаторы компрометации.

Эксперты подчеркивают важность усиления защиты серверной инфраструктуры, особенно систем, подверженных SQL-инъекциям и развертыванию веб-шеллов. Рекомендуется минимизировать поверхность атаки, регулярно обновлять программное обеспечение и внедрять мониторинг подозрительной активности на критически важных серверах.

MD5

• 12ec42446db8039e2a2d8c22d7fd2946
• 406db41215f7d333db2f2c9d60c3958b
• 44a64331ec1c937a8385dfeeee6678fd
• 751f47a688ae075bba11cf0235f4f6ee
• 8dcf258f66fa0cec1e4a800fa1f6c2a2
• d587724ade76218aa58c78523f6fa14e
• f806083c919e49aca3f301d082815b30