Kaspersky’nin Global Araştırma ve Tahlil Takımı (GReAT), Asya, Afrika ve Latin Amerika’daki kamu kurumlarını, finansal kuruluşları ve endüstriyel tertipleri maksat alan etkin bir siber casusluk operasyonunu ortaya çıkardı. PassiveNeuron olarak isimlendirilen bu kampanyanın Aralık 2024’ten itibaren sürdüğü ve Ağustos 2025’e kadar devam ettiği tespit edildi.
Yaklaşık altı aylık bir duraklamanın akabinde tekrar faaliyet göstermeye başlayan PassiveNeuron, maksat ağlara sızmak ve kalıcı erişim sağlamak için üç ana araç kullanıyor. Bunlardan ikisi daha evvel bilinmeyen yazılımlar. Kampanyada kullanılan araçlar şunlar: modüler bir art kapı yazılımı olan Neursite, .NET tabanlı bir implant olan NeuralExecutor ve tehdit aktörleri tarafından sıkça istismar edilen sızma testi aracı Cobalt Strike.
Kaspersky GReAT güvenlik araştırmacısı Georgy Kucherin, bahisle ilgili olarak şunları söyledi: “PassiveNeuron, tertiplerin bilişim altyapısının bel kemiği sayılan sunucuları amaç almasıyla öne çıkıyor. İnternete açık sunucular, gelişmiş kalıcı tehdit (APT) kümeleri için son derece cazip amaçlardır; zira tek bir sistemin ele geçirilmesi bile kritik sistemlere erişim sağlayabilir. Bu nedenle, bu çeşit sunucularla alakalı atak yüzeyinin en aza indirilmesi ve mümkün enfeksiyonların tespiti için sunucu uygulamalarının daima izlenmesi büyük ehemmiyet taşır.”
Neursite art kapısı, sistem bilgilerini toplayabiliyor, çalışan süreçleri yönetebiliyor ve ele geçirilen ana makineler üzerinden ağ trafiğini yönlendirerek ağ içinde yatay hareket etmeye imkan tanıyor. Örneklerde, bu aracın hem dış komuta-kontrol (C2) sunucularıyla hem de ele geçirilmiş dahili sistemlerle irtibat kurduğu gözlemlendi.
NeuralExecutor ise ek ziyanlı yükler dağıtmak için tasarlanmış bir implant. Birden fazla bağlantı usulünü destekleyen bu yazılım, komuta-kontrol sunucusundan aldığı .NET bileşenlerini belleğe yükleyip çalıştırabiliyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı