アラート!パッシブネオンラインキャンペーンが再びアクションを起こすWindowsシステムをターゲットに

ジャカルタ - カスペルスキーのグローバル調査分析チーム(GReAT)は、アジア、アフリカ、ラテンアメリカ中の政府機関、金融機関、産業におけるWindows Serverシステムを対象としたパッシブネクサスパイキャンペーンを明らかにしました。

6か月間の非アクティブ化の後、PassiveNeしは3つのメインツールを使用して、ターゲットネットワークへのアクセスを取得および維持し、そのうち2つのツールは認識されていません。

カスペルスキーの調査結果によると、これらのツールには、モジュラーバックドアのNeursite、NeuralExecutor、.NETベースのインプラント、および脅威アクターが頻繁に使用する侵入テストフレームワークであるCobalt Strikeが含まれます。

バックドアノルサイトは、システム情報を収集し、実行中のプロセスを管理し、侵害されたホストを介してネットワークトラフィックをルーティングできるため、ネットワーク内の横方向の動きが可能になります。

NeuralExecutorは、被害者のコンピュータ上で追加の悪意のあるプログラムを密輸して実行することを任務とするマルウェアです。このツールは、さまざまな方法で通信できるため隠れてスマートであり、インターネット上のハッカーのコントロールセンターから直接すべてのコマンドと追加のプログラムを受け取ります。

「侵害された1人のホストが重要なシステムへのアクセスを提供できるため、インターネットに公開されたサーバーは、高度な持続的脅威グループ(APT)にとって非常に魅力的なターゲットです」と、カスペルスキーのGReATセキュリティリサーチャー、ジョージー・クチェリンは述べています。

観察された戦術、手法、手順に基づいて、カスペルスキーは、キャンペーンが中国語の脅威アクターに関連している可能性が高いと低い自信を持って判断しました。

2024年初頭、カスペルスキーの研究者はパッシブネクサスから活動を検出し、キャンペーンが高いレベルの洗練さを示していると説明しました。