Kaspersky nêu bật chiến dịch gián điệp mạng PassiveNeuron nhắm vào máy chủ Windows

Máy chủ Windows đang nằm trong tầm ngắm của một mối đe dọa mới được Kaspersky tiết lộ. Chiến dịch mang tên PassiveNeuron đang nhắm mục tiêu vào cơ sở hạ tầng quan trọng trong một số lĩnh vực. Kể từ cuối năm 2024, hoạt động này đã khiến các chuyên gia an ninh mạng lo ngại.

Một chiến dịch gián điệp mạng tấn công mạnh mẽ vào Windows Server

Kaspersky đã phát hiện PassiveNeuron, một chiến dịch gián điệp mạng chủ yếu nhắm vào các máy chủ Windows, đặc biệt là trong các lĩnh vực chính phủ, tài chính và công nghiệp. Cuộc tấn công đã ảnh hưởng đến các tổ chức trên khắp Châu Á, Châu Phi và Châu Mỹ Latinh. Điều đáng kinh ngạc là sự dai dẳng của tin tặc: sau sáu tháng gián đoạn, hoạt động đột ngột được nối lại vào năm 2025.

Điều gì đặc biệt về nó? PassiveNeuron không hề nao núng: nó nhắm trực tiếp vào các máy chủ, trụ cột của mạng doanh nghiệp, thay vì bận tâm đến các thiết bị ngoại vi khác. Một cái nhìn thực tế vào những chi tiết cốt lõi của an ninh mạng. Ba công cụ cốt lõi của chiến dịch PassiveNeuron

Kẻ tấn công sử dụng ba công cụ chính để xâm nhập và thiết lập vị trí trong mạng. Hai trong số những công cụ này là những phát triển mới được Kaspersky xác định. Loại đầu tiên được gọi là Neursite, một Trojan dạng mô-đun có khả năng điều hướng bên trong hệ thống mục tiêu. Loại thứ hai, NeuralExecutor, là một mã độc .NET được cấy ghép để triển khai các payload từ các máy chủ C&C. Loại thứ ba là một công cụ nổi tiếng, Cobalt Strike, thường bị sử dụng sai mục đích trong kiểm thử xâm nhập.

Neursite hoạt động như một công cụ điều phối độc hại: nó truy xuất dữ liệu từ hệ thống, kiểm soát các quy trình đang chạy và có thể định tuyến lưu lượng mạng. Một cỗ máy nhân bản truy cập thực sự. Mặt khác, NeuralExecutor được thiết kế để gắn thẻ các payload bổ sung và thực thi mã theo các dạng khác nhau, tùy thuộc vào lệnh của các máy chủ chính.

Thao tác và dấu hiệu đánh lạc hướng: Dấu hiệu của một cuộc tấn công tinh vi

Trong chiến dịch này, tên hàm sử dụng ký tự Cyrillic, một thủ thuật có khả năng gây hiểu lầm nhằm đánh lừa các nhà phân tích. Kiểu lừa đảo này thường được sử dụng để khiến cuộc tấn công có vẻ như đến từ một nhóm khác. Đối với các chuyên gia Kaspersky, động thái này là một phần của chiến thuật tiên tiến.

Quả thực, sau khi điều tra sâu hơn, Kaspersky đang nghiêng về nguồn gốc tiếng Trung Quốc, mặc dù việc quy kết này vẫn còn thận trọng. Tất cả những điều này cho thấy các nhóm APT không hề mất đi chuyên môn và tiếp tục hoàn thiện các phương pháp của mình. PassiveNeuron không phải là một mối phiền toái cơ bản: nó là một cuộc tấn công tầm cỡ cao nhắm vào cơ sở hạ tầng chiến lược.

Làm thế nào bạn có thể tự bảo vệ mình khỏi PassiveNeuron?