Chiến dịch gián điệp mạng PassiveNeuron nhắm vào các máy tính chạy Windows Server

Chiến dịch PassiveNeuron lại gây xôn xao dư luận vào năm 2025, chủ yếu nhắm vào các máy chủ Windows. Những máy chủ này, vốn được các tổ chức lớn coi trọng, đang phải hứng chịu một cuộc xâm nhập kín đáo nhưng mạnh mẽ. Mục tiêu: rò rỉ thông tin nhạy cảm trong các lĩnh vực quan trọng.

Máy chủ Windows: Mục tiêu săn mồi ưa thích của PassiveNeuron

Nói một cách đơn giản: PassiveNeuron nhắm vào các máy chủ Windows, đặc biệt là các máy chủ bị lộ thông qua Microsoft SQL Server. Các cuộc tấn công này khai thác các lỗ hổng trong phần mềm hoặc lỗ hổng SQL injection có trong các ứng dụng được lưu trữ. Mục tiêu? Là truy cập thông qua một cửa hậu, thường bằng cách bẻ khóa mật khẩu quản trị viên, để thực thi các lệnh từ xa.

Một khi máy tính bị xâm nhập, kẻ tấn công sẽ cố gắng cài đặt một web shell ASPX để duy trì quyền kiểm soát. Tuy nhiên, các nỗ lực của chúng thường bị ngăn chặn bởi phần mềm diệt virus mạnh mẽ như Kaspersky, vốn có khả năng phát hiện và chặn các giai đoạn xâm nhập. Những nỗ lực mã hóa và giải mã dữ liệu liên tục này cho thấy rõ mức độ nghiêm trọng của chiến dịch.

Cấy ghép độc hại: Neursite và NeuralExecutor đang chờ xử lý

Từ tháng 6 năm 2024 đến tháng 8 năm 2025, hoạt động này chủ yếu được dàn dựng bằng ba loại cấy ghép: Neursite, một backdoor C++ mạnh mẽ; NeuralExecutor, một cấy ghép .NET; và công cụ Cobalt Strike nổi tiếng, quen thuộc với các chuyên gia kiểm tra xâm nhập—và các nhà phát triển tấn công mạng. Các payload này được triển khai thông qua các DLL được đặt trong System32, dưới những cái tên vô hại như wlbsctrl.dll hoặc TSMSISrv.dll. Bí quyết là gì? Các DLL này rất lớn, được phóng đại đến mức tối đa để che giấu việc phát hiện.

Quy trình rất đơn giản: xác minh địa chỉ MAC để đảm bảo mục tiêu chính xác, sau đó tải chuỗi các cấy ghép khác nhau, từ DLL đầu tiên đến shellcode cuối cùng. Phương pháp này khiến bất kỳ truy cập bị nhiễm độc nào hầu như không thể thực hiện được và làm lộ mối quan tâm đến các cơ sở hạ tầng cụ thể, chứ không phải ngẫu nhiên.

Chi tiết hấp dẫn về Backdoor Neursite

Backdoor này cho phép giao tiếp đa dạng với máy chủ điều khiển thông qua TCP, SSL, HTTP hoặc HTTPS. Nó hỗ trợ nhiều proxy và thậm chí có thể mở một cổng lắng nghe. Về phía lệnh, nó truy xuất thông tin hệ thống, quản lý các quy trình và định tuyến lưu lượng qua các máy bị nhiễm khác để mở rộng phạm vi xâm nhập.

Điều đáng sợ nhất? Tính linh hoạt của nó, cho phép nó tải các plugin để thực thi các lệnh shell, thao tác hệ thống tệp hoặc gửi lưu lượng qua TCP. Không phải là chuyện đùa đối với các quản trị viên phải theo dõi nhật ký!

Vai trò của NeuralExecutor, một vũ khí .NET đa năng

Trái ngược với Neursite mạnh mẽ, NeuralExecutor linh hoạt hơn nhiều. Dựa trên công nghệ .NET, nó sử dụng một số giao thức mạng và có thể nhận thêm các tải trọng .NET ngay lập tức. Mọi thứ đều được mã hóa và bảo vệ tốt, đặc biệt là bằng một trình mã hóa mã nguồn mở. Những đặc điểm này khiến việc phân tích và phát hiện bằng các công cụ thông thường trở nên khó khăn.

Điều đáng chú ý là trình tải này sử dụng phương pháp truy xuất địa chỉ máy chủ thông qua kho lưu trữ GitHub, một tính năng đặc trưng thường thấy ở các nhóm tin tặc Trung Quốc. Đây là một manh mối quan trọng để tìm hiểu ai là người đứng sau chiến dịch này.

Việc quy kết chiến dịch PassiveNeuron cho thấy điều gì Khía cạnh quy kết vẫn còn phức tạp, nhưng chúng ta đang đánh cược một chút: Chiến thuật, kỹ thuật và quy trình của PassiveNeuron có nét tương đồng đáng kinh ngạc với những gì các nhóm tin tặc Trung Quốc nổi tiếng sử dụng. Những manh mối sai lệch, chẳng hạn như các chuỗi ký tự Cyrillic được nhúng trong mã của phần mềm độc hại, có thể là một chiêu trò đánh lừa.

Đặc biệt là khi một DLL đã được xác định,

imjp14k.dll

, được thu thập từ một mục tiêu, trùng khớp với một manh mối mà Cisco Talos đã đề cập liên quan đến APT41, một nhóm tin tặc Trung Quốc có lịch sử tham gia lâu dài. Đây khó có thể là sự trùng hợp ngẫu nhiên.

Lời cảnh báo dành cho các chuyên gia CNTT đang sử dụng Windows Server Nói thẳng ra: việc bảo mật máy chủ Windows của bạn đang trở thành một yêu cầu cấp thiết. Hãy giảm thiểu bề mặt tấn công, theo dõi mọi hoạt động đáng ngờ và vá tất cả các lỗ hổng SQL. Chỉ cần một sơ suất nhỏ cũng có thể trở thành điểm xâm nhập cho những kẻ tấn công mạng cực kỳ kiên nhẫn.