کارزار جاسوسی PassiveNeuron؛ انتشار نسل جدید DanaBot با استفاده از شبکه Tor

گزارش‌های جدید پژوهشگران کسپرسکی نشان می‌دهد موج تازه‌ای از فعالیت‌های مخرب سایبری در حال گسترش است؛ جریانی که با نام PassiveNeuron شناسایی شده و از ترکیب دو بدافزار پیشرفته برای نفوذ، جاسوسی و کنترل شبکه‌های قربانیان استفاده می‌کند. نکته نگران‌کننده این است که در این کارزار، سرورهای داخلی آلوده‌شده به‌عنوان زیرساخت فرماندهی و کنترل (C2) مورد استفاده قرار می‌گیرند؛ رویکردی که شناسایی آن را برای سامانه‌های امنیتی بسیار دشوار می‌سازد.

به گفته کسپرسکی، این عملیات از نوامبر ۲۰۲۴ رصد شد و موج جدید آلودگی‌ها از دسامبر ۲۰۲۴ تا اوت ۲۰۲۵ ادامه داشته است. اهداف این حمله عمدتاً شامل سازمان‌های دولتی، مالی و صنعتی در آسیا، آفریقا و آمریکای لاتین بوده است.

استفاده از بدافزارهای سفارشی Neursite و NeuralExecutor

عاملان این کارزار از دو بدافزار کلیدی برای اجرای عملیات خود بهره می‌برند:

🔹 Neursite

بدافزاری چندمرحله‌ای که قابلیت‌های زیر را در اختیار مهاجمان قرار می‌دهد:

• جمع‌آوری اطلاعات سیستم
• کنترل پردازه‌ها
• پروکسی‌کردن ترافیک از طریق ماشین قربانی
• حرکت جانبی و تسهیل استخراج داده
• اجرای دستورات، مدیریت فایل و انجام فعالیت‌های شبکه‌ای از طریق افزونه‌های اختصاصی

این بدافزار از پروتکل‌های TCP، SSL، HTTP و HTTPS برای اتصال به سرور فرماندهی استفاده می‌کند و با پیکربندی داخلی خود فعال می‌شود.

🔹 NeuralExecutor

نسخه‌های اولیه آن در سال ۲۰۲۴ آدرس‌های سرورهای C2 را مستقیماً از تنظیمات داخلی می‌خواندند.
اما نسخه‌های کشف‌شده در سال ۲۰۲۵ از تکنیک Dead Drop Resolver استفاده می‌کنند؛ یعنی آدرس سرور فرماندهی از مخازن عمومی GitHub دریافت می‌شود.
این روش تشخیص ارتباطات بدافزار را بسیار دشوارتر می‌کند.

روش نفوذ: از SQL Server تا بارگذاری DLL در System32

در یکی از نمونه‌های تحلیل‌شده، مهاجمان از طریق Microsoft SQL Server توانسته‌اند به یک سرور ویندوزی دسترسی از راه دور بگیرند. درباره شیوه دقیق نفوذ هنوز قطعیتی وجود ندارد، اما چند سناریوی احتمالی مطرح است:

• حدس‌زدن یا سرقت رمز عبور مدیر
• سوءاستفاده از یک آسیب‌پذیری SQL Injection
• بهره‌برداری از نقص‌های ناشناخته در SQL Server یا نرم‌افزارهای جانبی

پس از دسترسی اولیه، مهاجمان تلاش کرده‌اند یک وب‌شل ASPX بارگذاری کنند. در مواردی که این روش موفق نبوده، فایل‌های Loader به صورت DLL در مسیر System32 قرار داده شده‌اند تا بدافزارهای اصلی تزریق شوند.

تمرکز حمله بر سرورهای سازمانی در معرض اینترنت

یکی از ویژگی‌های منحصربه‌فرد کارزار PassiveNeuron، تمرکز ویژه بر سرورهای سازمانی، به‌ویژه سرورهای در دسترس اینترنت است. این سیستم‌ها برای مهاجمان ارزش فراوانی دارند؛ زیرا:

• دروازه ورود به شبکه داخلی هستند
• منابع پردازشی و دسترسی گسترده‌تری فراهم می‌کنند
• به‌صورت مستمر فعال و قابل‌استفاده هستند
• کمتر تحت نظارت مداوم امنیتی قرار می‌گیرند

برخی نشانه‌ها شباهت این کارزار به تاکتیک‌های گروه‌های مرتبط با بازیگران چینی‌زبان را مطرح کرده، اما نسبت‌دهی رسمی هنوز انجام نشده است.

توصیه‌های امنیتی کسپرسکی

کسپرسکی تأکید می‌کند نظارت بر فعالیت‌های غیرعادی سرورها می‌تواند در شناسایی حملات مؤثر باشد. این شرکت به سازمان‌ها توصیه کرده است:

• تنظیمات و دسترسی‌های Microsoft SQL Server را بازبینی کنند
• برای کشف فعالیت Loaderهای DLL یا فایل‌های ناشناخته در System32 اقدام کنند
• ارتباطات غیرعادی به مخازن عمومی مانند GitHub را بررسی کنند
• پایش رویدادهای مربوط به اجرای فرایندهای مشکوک را تقویت کنند

تحقیقات درباره PassiveNeuron همچنان ادامه دارد و احتمال شناسایی ابزارها و روش‌های جدید در به‌روزرسانی‌های آینده وجود دارد.