研究人员发现使用Neursite和NeuralExecutor恶意软件的PassiveNeuron APT组织

根据卡巴斯基的研究结果，位于亚洲、非洲和拉丁美洲的政府、金融和工业组织成为一场名为PassiveNeuron的新攻击活动目标。

这项网络间谍活动由俄罗斯网络安全供应商于2024年11月首次标记，当时该公司披露了在6月份针对拉丁美洲和东亚政府实体的一系列攻击，使用了此前未见过的恶意软件家族，追踪为Neursite和 NeuralExecutor。

该报告还将此行动描述为具有高度复杂性，威胁行为者利用已入侵的内部服务器作为中间命令与控制（C2）基础设施以规避检测。

卡巴斯基当时指出：“威胁行为者能够横向移动通过基础设施并窃取数据，可选地创建虚拟网络，使攻击者即使从与互联网隔离的机器中也能窃取目标文件。基于插件的方法提供了对攻击者需求的动态适应。”

此后，该公司表示自2024年12月以来观察到与PassiveNeuron相关的新一波感染，并一直持续到2025年8月。目前该活动尚未归因，尽管一些迹象表明它可能是中文威胁行为者的作品。

在至少一起事件中，据称对手通过Microsoft SQL在运行Windows Server的受感染机器上获得了初始远程命令执行能力。虽然实现此目标的确切方法尚不清楚，但攻击者可能正在暴力破解管理员账户密码，或利用服务器上运行的应用程序中的SQL注入漏洞，或服务器软件本身中尚未确定的漏洞。

无论使用何种方法，攻击者都试图部署ASPX Web shell以获得基本命令执行能力。在这些努力失败后，入侵通过放置在System32目录中的一系列DLL加载器传递了高级植入程序。这些包括：

• Neursite：定制的C++模块化后门
• NeuralExecutor：定制的.NET植入程序，用于通过TCP、HTTP/HTTPS、命名管道或WebSocket下载额外的.NET有效负载并执行它们
• Cobalt Strike：合法的对手模拟工具

Neursite利用嵌入式配置连接到C2服务器，并使用TCP、SSL、HTTP和HTTPS协议进行通信。默认情况下，它支持收集系统信息、管理运行进程以及通过感染了后门的其他机器代理流量以实现横向移动的能力。

该恶意软件还配备了一个组件，用于获取辅助插件以实现shell命令执行、文件系统管理和TCP套接字操作。

卡巴斯基还指出，2024年发现的NeuralExecutor变体设计为直接从配置中检索C2服务器地址，而今年发现的工件则联系GitHub存储库以获取C2服务器地址，有效地将合法的代码托管平台变成了死投解析器。

研究人员Georgy Kucherin和Saurabh Sharma表示：“PassiveNeuron活动的一个显著特点是它主要针对服务器机器。这些服务器，尤其是暴露在互联网上的服务器，通常是[高级持续性威胁]的有价值目标，因为它们可以作为进入目标组织的入口点。”