Kaspersky’nin Kasım 2024’te keşfettiği PassiveNeuron APT grubu, Latin Amerika ve Doğu Asya’daki devlet kurumlarını hedef alan sofistike bir siber casusluk operasyonu yürütüyor. Bu kampanya, Neursite ve NeuralExecutor adlı daha önce görülmemiş zararlı yazılım ailelerini kullanarak, ele geçirilmiş dahili sunucuları komut ve kontrol (C2) altyapısı olarak işlevsel hale getiriyor.

Yatay Hareket ve İzole Ağlarda Veri Sızdırma

PassiveNeuron tehdit aktörleri, altyapı içinde yatay hareket kabiliyetiyle dikkat çekiyor. İnternetten izole edilmiş makinelerden bile dosya çalabilen sanal ağlar kurabiliyorlar. Kaspersky’nin belirttiği gibi, eklenti tabanlı mimari sayesinde saldırganlar ihtiyaçlarına göre dinamik olarak yeni modüller entegre edebiliyor. Bu yaklaşım, MCP istemcileri ve Pydantic AI gibi modern yapıların esnekliğine benzer şekilde, saldırganların operasyonlarını hızlıca adapte etmesine olanak tanıyor.

Uzaktan Komut Yürütme ve Gelişmiş İmplantlar

En az bir vakada, saldırganların Microsoft SQL Server üzerinden Windows Server makinesinde uzaktan komut yürütme yeteneği kazandığı bildirildi. Bu, kaba kuvvetle yönetici şifresi kırma, SQL enjeksiyonu veya bilinmeyen sıfırıncı gün zafiyetleri aracılığıyla gerçekleşmiş olabilir. Başarısız ASPX web shell dağıtımı sonrası, System32 dizinine yerleştirilen DLL yükleyicilerle Neursite (C++ modüler arka kapı), NeuralExecutor (.NET tabanlı dinamik yükleyici) ve Cobalt Strike gibi gelişmiş implantlar teslim edildi.

Neursite ve NeuralExecutor Teknik Özellikleri

Neursite, gömülü yapılandırması ile TCP, SSL, HTTP ve HTTPS protokolleri üzerinden C2 sunucusuna bağlanır; sistem bilgisi toplama, süreç yönetimi ve trafik proxyleme gibi işlevleri destekler. NeuralExecutor ise, C2 adreslerini doğrudan yapılandırmak yerine GitHub gibi meşru kod barındırma platformlarını dead drop çözücüsü olarak kullanarak, tespit edilme riskini azaltır. Bu yöntem, AsyncRAT ve benzeri gelişmiş RAT araçlarının kullandığı tekniklere paraleldir.

Operasyonun Önemi ve Siber Güvenlik Perspektifi

PassiveNeuron kampanyası, özellikle internete açık sunucuları hedef almasıyla öne çıkıyor. Bu makineler, konteynerlerin rastgele SSH portları üzerinden erişim sağlanması gibi karmaşık saldırı vektörlerine maruz kalabiliyor ve genellikle hedef organizasyonlara giriş kapısı olarak kullanılıyor. Kaspersky araştırmacıları Georgy Kucherin ve Saurabh Sharma, bu tür gelişmiş kalıcı tehditlerin sunucu odaklı operasyonlarının, siber savunma stratejilerinde öncelikli olarak ele alınması gerektiğini vurguluyor.