Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), Asya, Afrika ve Latin Amerika’daki kamu kurumlarını, finansal kuruluşları ve endüstriyel organizasyonları hedef alan aktif bir siber casusluk operasyonunu ortaya çıkardı. PassiveNeuron olarak adlandırılan bu kampanyanın Aralık 2024’ten itibaren sürdüğü ve Ağustos 2025’e kadar devam ettiği tespit edildi.
Yaklaşık altı aylık bir duraklamanın ardından yeniden faaliyet göstermeye başlayan PassiveNeuron, hedef ağlara sızmak ve kalıcı erişim sağlamak için üç ana araç kullanıyor. Bunlardan ikisi daha önce bilinmeyen yazılımlar. Kampanyada kullanılan araçlar şunlar: modüler bir arka kapı yazılımı olan Neursite, .NET tabanlı bir implant olan NeuralExecutor ve tehdit aktörleri tarafından sıkça istismar edilen sızma testi aracı Cobalt Strike.
Kaspersky GReAT güvenlik araştırmacısı Georgy Kucherin, konuyla ilgili olarak şunları söyledi: “PassiveNeuron, organizasyonların bilişim altyapısının bel kemiği sayılan sunucuları hedef almasıyla öne çıkıyor. İnternete açık sunucular, gelişmiş kalıcı tehdit (APT) grupları için son derece cazip hedeflerdir; çünkü tek bir sistemin ele geçirilmesi bile kritik sistemlere erişim sağlayabilir. Bu nedenle, bu tür sunucularla ilişkili saldırı yüzeyinin en aza indirilmesi ve olası enfeksiyonların tespiti için sunucu uygulamalarının sürekli izlenmesi büyük önem taşır.”
Neursite arka kapısı, sistem bilgilerini toplayabiliyor, çalışan süreçleri yönetebiliyor ve ele geçirilen ana makineler üzerinden ağ trafiğini yönlendirerek ağ içinde yatay hareket etmeye olanak tanıyor. Örneklerde, bu aracın hem dış komuta-kontrol (C2) sunucularıyla hem de ele geçirilmiş dahili sistemlerle iletişim kurduğu gözlemlendi.
NeuralExecutor ise ek zararlı yükler dağıtmak için tasarlanmış bir implant. Birden fazla iletişim yöntemini destekleyen bu yazılım, komuta-kontrol sunucusundan aldığı .NET bileşenlerini belleğe yükleyip çalıştırabiliyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
