انطلقت حملة تجسس جديدة تُعرف باسم PassiveNeuron، تستهدف أنظمة ويندوز سيرفر في المؤسسات الحكومية والمالية والصناعية عبر آسيا وإفريقيا وأمريكا اللاتينية، وقد تم كشف النقاب عن هذه الحملة من قبل فريق الأبحاث والتحليل العالمي (GReAT) لدى كاسبرسكي، حيث تركزت الحملة على اختراق الخوادم التي تعتبر العمود الفقري لشبكات المؤسسات، مما يجعلها أهدافًا جذابة لمجموعات التهديدات المتقدمة المستمرة، وقد استخدمت الحملة أدوات متطورة مثل Neursite وNeuralExecutor وCobalt Strike، مما يتطلب يقظة دائمة لتقليل مساحة الهجوم ومراقبة التطبيقات لاكتشاف البرمجيات الخبيثة المحتملة.
كشف حملة التجسس السيبراني PassiveNeuron
كشفت كاسبرسكي، من خلال فريق الأبحاث والتحليل العالمي (GReAT)، عن حملة تجسس سيبراني تُعرف باسم PassiveNeuron، والتي تستهدف أنظمة ويندوز سيرفر في المؤسسات الحكومية والمالية والصناعية في مختلف أرجاء آسيا وإفريقيا وأمريكا اللاتينية، وقد تم رصد هذه الحملة منذ ديسمبر 2024 واستمرت حتى أغسطس 2025، ومع مرور ستة أشهر من التوقف، عادت PassiveNeuron لاستئناف نشاطها مجددًا مستخدمة ثلاث أدوات رئيسية، اثنتان منها غير معروفتين سابقًا، لتتمكن من الوصول إلى الشبكات المستهدفة والبقاء داخلها.
الأدوات المستخدمة في حملة PassiveNeuron
تتضمن الأدوات المستخدمة في هذه الحملة كلاً من Neursite، وهي برمجية باب خلفي قابلة للتعديل، وNeuralExecutor، وهي برمجية خبيثة مزروعة مبنية على منصة .NET، بالإضافة إلى Cobalt Strike، وهو إطار برمجي يستخدم غالبًا لاختبار الاختراق من قبل الجهات المهددة في مجال التهديدات السيبرانية، ويعلق جورجي كوشيرين، الباحث الأمني في GReAT، على هذه المسألة قائلًا إن تركيز حملة PassiveNeuron على اختراق الخوادم يجعلها تهديدًا كبيرًا، إذ أن الخوادم المكشوفة على الإنترنت تعد أهدافًا مغرية لمجموعات التهديدات المتقدمة المستمرة.
أهمية مراقبة الخوادم والحماية منها
تستطيع برمجية Neursite جمع معلومات النظام، وإدارة العمليات الجارية، وتوجيه حركة البيانات عبر الأجهزة المضيفة المخترقة، مما يتيح للمهاجمين التنقل داخل الشبكة، وقد أظهر التحليل أن عينات البرمجيات الخبيثة تتواصل مع خوادم تحكم وسيطرة خارجية، بينما تم تصميم NeuralExecutor لنقل حمولات إضافية، حيث تمتلك طرق اتصال متعددة لتحميل وتشغيل حزم .NET المستلمة من خادم التحكم والسيطرة، وفي ظل هذه التهديدات، من الضروري تقليص مساحة الهجوم المرتبطة بالخوادم ومراقبة التطبيقات بشكل مستمر لاكتشاف البرمجيات الخبيثة المحتملة وإيقافها.
تابعوا آخر أخبار
التعليقات