Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), Asya, Afrika ve Latin Amerika’daki kamu kurumları, finansal kuruluşlar ve endüstriyel organizasyonları hedef alan aktif bir siber casusluk operasyonunu ortaya çıkardı. PassiveNeuron olarak adlandırılan bu kampanyanın Aralık 2024’ten itibaren başladığı ve Ağustos 2025’e kadar sürdüğü belirlendi.
Yaklaşık altı aylık bir duraklamanın ardından yeniden aktif hale gelen PassiveNeuron, hedef ağlara sızmak ve kalıcı erişim sağlamak için üç ana araç kullanıyor. Bunlardan ikisi daha önce bilinmeyen zararlı yazılımlar. Kampanyada kullanılan araçlar şunlar: modüler bir arka kapı yazılımı olan Neursite, .NET tabanlı implant NeuralExecutor ve tehdit aktörleri tarafından sıkça kullanılan sızma testi aracı Cobalt Strike.
Kaspersky GReAT güvenlik araştırmacısı Georgy Kucherin, konuyla ilgili olarak şunları ifade etti: “PassiveNeuron, organizasyonların bilişim altyapısının temelini oluşturan sunucuları hedef almasıyla dikkat çekiyor. İnternete açık sunucular, gelişmiş kalıcı tehdit (APT) grupları için çok cazip hedeflerdir; çünkü tek bir sistemin ele geçirilmesi kritik sistemlere erişim sağlayabilir. Bu nedenle, bu tür sunucuların saldırı yüzeyinin azaltılması ve olası enfeksiyonların tespiti için sunucu uygulamalarının sürekli izlenmesi büyük önem taşıyor.”
Neursite arka kapısı, sistem bilgilerini toplayabiliyor, çalışan süreçleri yönetebiliyor ve ele geçirilen ana makineler üzerinden ağ trafiğini yönlendirerek ağ içinde yatay hareket imkanı sağlıyor. İncelenen örneklerde, bu aracın hem dış komuta-kontrol (C2) sunucularıyla hem de ele geçirilmiş dahili sistemlerle iletişim kurduğu gözlemlendi.
NeuralExecutor ise ek zararlı yükler dağıtmak amacıyla geliştirilmiş bir implant. Çoklu iletişim yöntemlerini destekleyen bu yazılım, komuta-kontrol sunucusundan aldığı .NET bileşenlerini belleğe yükleyip çalıştırabiliyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
