Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), Asya, Afrika ve Latin Amerika’daki kamu kurumları, finansal kuruluşlar ve endüstriyel organizasyonları hedef alan aktif bir siber casusluk operasyonunu ortaya çıkardı. PassiveNeuron adlı bu kampanyanın Aralık 2024’ten başlayıp Ağustos 2025’e kadar devam ettiği belirlendi.
Yaklaşık altı aylık bir ara sonrası tekrar faaliyete geçen PassiveNeuron, hedef ağlara sızmak ve kalıcı erişim sağlamak için üç ana araç kullanıyor. Bunların ikisi daha önce bilinmeyen yazılımlar. Kampanyada kullanılan araçlar; modüler arka kapı yazılımı Neursite, .NET tabanlı implant NeuralExecutor ve yaygın olarak tehdit aktörleri tarafından kullanılan sızma testi aracı Cobalt Strike olarak sıralanıyor.
Kaspersky GReAT güvenlik araştırmacısı Georgy Kucherin, konuyla ilgili şunları ifade etti: “PassiveNeuron, bilişim altyapısının temelini oluşturan sunucuları hedef almasıyla dikkat çekiyor. İnternete açık sunucular, gelişmiş kalıcı tehdit (APT) grupları için çok cazip hedeflerdir; çünkü tek bir sistemin ele geçirilmesi kritik sistemlere erişim sağlayabilir. Bu nedenle, bu sunucuların saldırı yüzeyinin azaltılması ve enfeksiyonların erken tespiti için sunucu uygulamalarının sürekli izlenmesi hayati önem taşır.”
Neursite arka kapısı, sistem bilgilerini toplayabiliyor, çalışan süreçleri kontrol edebiliyor ve ele geçirilen ana makineler üzerinden ağ trafiğini yönlendirerek ağ içinde yatay hareket imkanı sağlıyor. İncelenen örneklerde, bu aracın hem dış komuta-kontrol (C2) sunucularıyla hem de ele geçirilmiş dahili sistemlerle iletişim kurduğu gözlemlendi.
NeuralExecutor ise ek zararlı yükler dağıtmak amacıyla geliştirilmiş bir implant. Birden fazla iletişim yöntemini destekleyen bu yazılım, komuta-kontrol sunucusundan aldığı .NET bileşenlerini belleğe yükleyip çalıştırabiliyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
