Kaspersky nêu bật chiến dịch gián điệp mạng PassiveNeuron nhắm vào máy chủ Windows

Kể từ tháng 12 năm 2024, một chiến dịch gián điệp mạng mang tên PassiveNeuron đã nhắm mục tiêu vào các máy chủ Windows. Nạn nhân là ai? Chủ yếu là các cơ quan chính phủ, ngân hàng và các ngành công nghiệp ở Châu Á, Châu Phi và Châu Mỹ Latinh. Đây không phải là nỗ lực đầu tiên: sau sáu tháng tạm dừng, hoạt động này đã được tiếp tục với các công cụ thậm chí còn tinh vi hơn.

Kaspersky đã phát hiện ra mối đe dọa này, bắt nguồn từ một nhóm có tên TA569. Nhóm này được biết đến với việc bán quyền truy cập vào các máy tính bị xâm nhập – một thị trường chợ đen thực sự. Các cuộc tấn công dựa trên một loạt phần mềm độc hại được thiết kế để xâm nhập sâu vào các mạng lưới bên trong hệ thống của họ.

Chiến dịch này khai thác các lỗ hổng trong hệ thống Windows Server, thường đóng vai trò là xương sống của cơ sở hạ tầng bị nhắm mục tiêu. Mục tiêu rất rõ ràng: do thám mà không bị phát hiện bằng cách truy cập rộng rãi vào dữ liệu nhạy cảm.

Các công cụ của PassiveNeuron và cách chúng hoạt động

Kho vũ khí của PassiveNeuron xoay quanh ba công cụ chính. Hai trong số này là các công cụ mới mà trước đây các nhà nghiên cứu chưa biết đến. Công cụ đầu tiên, Neursite, là một cửa hậu dạng mô-đun. Nó quét môi trường hệ thống, có thể khởi động hoặc dừng các tiến trình, và chuyển hướng lưu lượng mạng để tự do di chuyển qua mạng bị xâm nhập.

Phần mềm thứ hai được gọi là NeuralExecutor, một phần mềm cấy ghép dựa trên nền tảng .NET. Phần mềm này cho phép kẻ tấn công nhận và thực thi các tải trọng bổ sung trên các máy chủ bị nhiễm, thông qua nhiều phương thức giao tiếp khác nhau với máy chủ điều khiển.

Cuối cùng, nhóm này đang khai thác Cobalt Strike, một nền tảng kiểm toán nổi tiếng. Nền tảng này đôi khi được sử dụng để kiểm tra xâm nhập, nhưng cũng được kẻ tấn công sử dụng rộng rãi để thực hiện các cuộc xâm nhập lén lút và tồn tại trong môi trường.

Tại sao việc nhắm mục tiêu vào máy chủ Windows lại là chiến lược đối với kẻ tấn công?

Nói thẳng ra: các máy chủ tiếp xúc với internet là mục tiêu hàng đầu của các APT như PassiveNeuron. Chỉ cần một máy tính bị xâm nhập cũng có thể mở ra cánh cửa cho các hệ thống quan trọng. Đó là lý do tại sao việc giảm thiểu bề mặt tấn công và theo dõi chặt chẽ các ứng dụng máy chủ là rất quan trọng.

Nếu một quản trị viên nghĩ rằng họ có thể làm được mà không cần giám sát này, họ sẽ phải nhận ra điều đó. Những môi trường này đòi hỏi sự nghiêm ngặt và cảnh giác liên tục, chứ không chỉ là một vài bản cập nhật bị trì hoãn. Nếu không, chúng sẽ dễ dàng bị lợi dụng bởi đủ loại âm mưu như vậy.

Hơn nữa, những cuộc tấn công này không ngần ngại làm rối tung mọi thứ. Các hàm mã độc hại sử dụng các ký tự Cyrillic để gây nhầm lẫn. Một chiến thuật thông tin sai lệch kinh điển làm lãng phí thời gian của các nhà phân tích.

Các khuyến nghị thiết thực để tránh bị phát hiện: Theo dõi mối đe dọa và hành động nhanh chóng—đó là cách duy nhất để tránh bị ảnh hưởng. Các chuyên gia Kaspersky không hề nói bóng gió. Bạn phải cung cấp cho nhóm SOC của mình thông tin tình báo về mối đe dọa được cập nhật. Cổng thông tin Kaspersky Threat Intelligence là một công cụ đắc lực cho việc này.

Nhưng đó chưa phải là tất cả. Việc đào tạo đội ngũ của bạn để phát hiện các mối đe dọa mục tiêu này là điều cần thiết. Kaspersky cung cấp các khóa đào tạo trực tuyến, được phát triển bởi các chuyên gia uy tín, được thiết kế để giải quyết các cuộc tấn công thế hệ mới này. Để phản ứng nhanh chóng trong trường hợp bị tấn công, các giải pháp EDR như Kaspersky Endpoint Detection and Response là không thể thiếu. Chúng phát hiện và cô lập các sự cố trước khi chúng leo thang.