Возвращение PassiveNeuron: злоумышленники атаковали серверы крупных организаций в разных странах
Эксперты Kaspersky GReAT изучили новую волну заражений PassiveNeuron, которая длилась с декабря 2024 г. до августа 2025 г. Атаки затронули правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке. Отличительная черта кампании — нацеленность преимущественно на операционные системы Windows Server. Об этом CNews сообщили представители «Лаборатории Касперского».
Хронология атак. «Лаборатория Касперского» впервые обнаружила сложную целевую кампанию PassiveNeuron в июне 2024 года. После полугодового затишья злоумышленники возобновили свою деятельность в декабре 2024 г. На этот раз они использовали для получения и поддержания доступа к целевым сетям три основных инструмента: фреймворк Cobalt Strike и два ранее неизвестных — бэкдор Neursite и имплант NeuralExecutor.
Новые инструменты. Neursite — это модульный бэкдор, он может собирать системную информацию, управлять запущенными процессами и направлять сетевой трафик через скомпрометированные хосты, обеспечивая перемещение по сети. Были обнаружены образцы, обменивающиеся данными как с внешними командными серверами, так и со скомпрометированными внутренними системами. NeuralExecutor — это кастомизированный .NET‑имплант, который поддерживает несколько методов связи и может загружать и выполнять сборки .NET, полученные с контрольно-командного сервера.
Атрибуция. В результате анализа новой кампании эксперты Kaspersky GReAT смогли определить порядок первоначального заражения и сделать предположения об атрибуции. В наблюдаемых образцах имена функций были заменены строками, содержащими кириллические символы, которые, по всей видимости, были введены злоумышленниками намеренно. Такие артефакты требуют тщательной оценки при атрибуции. Атакующие могут использовать их, чтобы вводить исследователей в заблуждение. Исходя из анализа тактик, техник и процедур (TTPs) кампании PassiveNeuron, в Kaspersky GReAT на данный момент приписывают активность китайскоязычной группе, хотя и с низкой степенью уверенности.

«В новой кампании PassiveNeuron злоумышленники фокусируются на компрометации серверов, которые часто составляют основу корпоративных сетей. Такие цели, особенно доступные из интернета, представляют интерес для групп, проводящих сложные целевые кибератаки, ведь один взломанный хост может обеспечить доступ к критическим системам. Крайне важно минимизировать возможную поверхность атаки и постоянно контролировать серверные приложения для обнаружения и предотвращения потенциальных заражений», — сказал Георгий Кучерин, эксперт Kaspersky GReAT.
Для защиты от целевых кибератак «Лаборатория Касперского» рекомендует организациям: предоставлять SOC-командам свежую информацию о новейших тактиках, техниках и процедурах злоумышленников (TTPs). Комплекс Kaspersky Threat Intelligence — единая точка доступа ко всем данным о киберугрозах, накопленных экспертами «Лаборатории Касперского» более чем за 25 лет; использовать надёжное защитное решение от вендора, эффективность технологий которого подтверждается независимыми тестами; с помощью онлайн-тренингов от экспертов Kaspersky GReAT повышать квалификацию внутренних специалистов по кибербезопасности, чтобы они умели противостоять новейшим целевым угрозам; применять комплексное решение для защиты, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли; регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием фишинга и других методов социальной инженерии, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform.