引言
早在2024年,我们简要描述了一个名为“PassiveNeuron”的复杂网络间谍活动。该活动涉及使用先前未知的APT植入程序“Neursite”和“NeuralExecutor”入侵政府组织的服务器。然而,自发现以来,PassiveNeuron活动一直笼罩在神秘之中。例如,尚不清楚相关植入程序是如何部署的,或者幕后黑手是谁。
SQL服务器遭受攻击
在调查2024年和2025年的PassiveNeuron感染时,我们发现绝大多数受攻击的机器运行的是Windows Server。具体而言,在一个特定的感染案例中,我们观察到攻击者通过Microsoft SQL软件在受感染的服务器上获得了初始远程命令执行能力。
在获得借助SQL软件的代码执行能力后,攻击者部署了一个ASPX Web Shell,以便在受感染的机器上执行基本的恶意命令。然而,在这个阶段,事情并没有按攻击者的计划进行。安装在机器上的卡巴斯基解决方案阻止了Web Shell的部署尝试,并且安装Web Shell的过程变得相当嘈杂。
恶意植入程序
在过去两年中,我们观察到在PassiveNeuron感染过程中使用了三种植入程序:
- Neursite:一个用于网络间谍活动的自定义C++模块化后门
- NeuralExecutor:一个用于运行额外.NET payload的自定义.NET植入程序
- Cobalt Strike框架:一个用于红队行动的商业工具
虽然我们看到这些植入程序的不同组合被部署在目标机器上,但我们观察到在绝大多数情况下,它们是通过一系列DLL加载器链加载的。链中的第一级加载器是一个放置在系统目录中的DLL文件。
Neursite后门
在我们上面提到的三个最终payload植入程序中,Neursite后门是最强大的一个。我们这样命名它是因为我们在发现的样本中观察到了以下源代码路径:E:\pro\code\Neursite\client_server\nonspec\mbedtls\library\ssl_srv.c。
该植入程序的配置包含以下参数:
- C2服务器列表及其端口
- 可用于连接到C2服务器的HTTP代理列表
- 连接到基于HTTP的C2服务器时使用的HTTP头列表
- 与基于HTTP的C2服务器通信时使用的相对URL
- 两次连续C2服务器连接之间的等待时间范围
- 后门可运行的小时和星期几的字节数组
- 应打开以监听传入连接的可选端口
NeuralExecutor加载器
NeuralExecutor是在PassiveNeuron活动过程中部署的另一个自定义植入程序。该植入程序基于.NET,我们发现它使用开源的ConfuserEx混淆器来防止分析。它实现了多种网络通信方法,即TCP、HTTP/HTTPS、命名管道和WebSocket。
棘手的归因
我们发现的在PassiveNeuron活动中使用的两个自定义植入程序Neursite和NeuralExecutor,在以前的任何网络攻击中都没有被观察到。我们必须寻找可能暗示PassiveNeuron背后威胁行为者的线索。
结论
PassiveNeuron活动的独特之处在于它主要针对服务器机器。这些服务器,特别是暴露在互联网上的服务器,通常是APT的有价值目标,因为它们可以作为进入目标组织的入口点。因此,密切关注服务器机器的保护至关重要。
入侵指标
PassiveNeuron相关加载器文件
|
|
恶意imjp14k.dll DLL
|
|