警报!被动神龙活动又回到了针对Windows系统的行动中

雅加达 - 卡巴斯基全球研究和分析小组(GReAT)透露了PassiveNeuron的网络间谍活动,该活动针对亚洲、非洲和拉丁美洲政府、金融和工业机构的Windows Server系统。

停用六个月后,PassiveNeulon已恢复运营,使用三个主工具获取并保持对目标网络的访问,其中两个工具从未被识别过。

根据卡巴斯基的调查结果,这些工具包括Neursite,一个模块化后门,NeuralExecutor,一个基于.NET的植入物,以及Cobalt Strike,一个经常被威胁行为者使用的渗透测试框架。

Neursite 后门可以收集系统信息,管理正在进行的流程,并通过被渗透的主机路透网络流量,从而允许网络中的侧向移动。

虽然NeuralExecutor是一种恶意软件,其任务是在受害者的计算机上走私和运行其他恶意程序。这个工具很聪明,因为它可以通过各种方式进行通信,并且它直接从互联网上黑客拥有的控制中心接收所有额外的命令和程序。

“暴露于互联网的服务器是高级别恒定威胁群(APT)的非常有吸引力的目标,因为一个被渗透的托管可以提供对关键系统的访问,”GReAT卡巴斯基安全研究员Georgy Kucherin说。

基于观察到的战术、技术和程序,卡巴斯基低信地评估说,该活动可能与中文威胁行为者有关。

2024年初,卡巴斯基研究人员已经检测到PassiveNeulon的活动,并描述了该活动具有高水平的复杂性。