Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), Asya, Afrika ve Latin Amerika'daki kamu kurumları, finansal kuruluşlar ve endüstriyel organizasyonlar için tehdit oluşturan bir siber casusluk operasyonunu gün ışığına çıkardı. "PassiveNeuron" adını taşıyan bu kampanyanın Aralık 2024'ten itibaren başladığı ve Ağustos 2025'e kadar devam ettiği tespit edildi.
PassiveNeuron, yaklaşık altı aylık bir duraklamanın ardından yeniden faaliyet göstermeye başladı. Bu operasyon, hedef ağlara sızmak ve kalıcı erişim sağlamak amacıyla üç ana araç kullanmaktadır. Kullanılan araçlardan ikisi, daha önce bilinmeyen zararlı yazılımlardır. Kampanyada yer alan araçlar arasında modüler bir arka kapı yazılımı olan Neursite, .NET tabanlı bir implant olarak bilinen NeuralExecutor ve sıklıkla siber tehdit aktörleri tarafından istismar edilen Cobalt Strike isimli bir sızma testi aracı bulunmaktadır.
Kaspersky GReAT güvenlik araştırmacısı Georgy Kucherin, PassiveNeuron ile ilgili olarak önemli açıklamalar yaptı. Kucherin, “PassiveNeuron, organizasyonların bilişim altyapısının bel kemiği olarak kabul edilen sunucuları hedef almasıyla dikkat çekiyor. İnternete açık sunucular, gelişmiş kalıcı tehdit (APT) grupları için son derece cazip hedeflerdir. Çünkü tek bir sistemin ele geçirilmesi bile kritik sistemlere erişim sağlayabilir. Bu nedenle, bu tür sunucularla ilişkili saldırı yüzeyinin en aza indirilmesi ve olası enfeksiyonların tespiti için sunucu uygulamalarının sürekli izlenmesi büyük önem taşımaktadır,” dedi.
PassiveNeuron operasyonunda kullanılan Neursite arka kapısı, sistemi izlemek ve kontrol etmek için çeşitli işlevlere sahiptir. Bu yazılım, sistem bilgilerini toplayabilir, çalışan süreçleri yönetebilir ve ele geçirilen ana makineler üzerinden ağ trafiğini yönlendirerek ağ içinde yatay hareket etmeyi mümkün kılar. Gözlemler sonucunda, Neursite aracının hem dış komuta-kontrol (C2) sunucularıyla hem de ele geçirilen dahili sistemlerle başarılı bir şekilde iletişim kurduğu belirlenmiştir.
Diğer bir araç olan NeuralExecutor, ek zararlı yükleri dağıtmak için özel olarak tasarlanmış bir implanttır. Bu yazılım, birden fazla iletişim yöntemini destekler ve komuta-kontrol sunucusundan aldığı .NET bileşenlerini belleğe yükleyerek çalıştırma kabiliyetine sahiptir. Böylelikle, saldırganlar hedef sistemler üzerinde daha fazla kontrol ve etki sağlayabilirler.
PassiveNeuron’un faaliyetleri, hedef alınan organizasyonların altyapılarına yönelik sürekli bir tehdit oluşturduğundan, Siber güvenlik uzmanları ve IT yöneticileri için önemli bir risk faktörü teşkil etmektedir. Bu durum, kuruluşların siber savunma stratejilerini gözden geçirmeleri ve sunucu güvenliklerini artırmaları gerektiğini göstermektedir.
Sonuç olarak, PassiveNeuron siber casusluk operasyonu, hedef alınan bölgelerdeki kuruluşların kalıcı erişim sağlama tehditleriyle karşı karşıya olduğunu ortaya koymuştur. Bu tür operasyonların karmaşık yapısı, siber güvenlik alanında sürekli bir dikkat ve önlem gereksinimi doğurmaktadır. Kuruluşların, sürekli değişen tehdit ortamına uyum sağlaması ve uygun güvenlik tedbirlerini alması son derece önemlidir.
