روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در سال ۲۰۲۴ ما یک کمپین پیچیده جاسوسی سایبری را که «PassiveNeuron» نامیدیم به‌طور خلاصه توصیف کردیم. در این کمپین، سرورهای سازمان‌های دولتی با ابزارهای ناشناخته‌ای آلوده شدند که «Neursite»  و «NeuralExecutor» نام گرفتند. اما از زمان کشف، PassiveNeuron  در هاله‌ای از ابهام باقی ماند: نحوه قرارگیری این ابزارها و بازیگر پشت این حملات مشخص نبود. پس از شناسایی و متوقف کردن این کمپین در ژوئن ۲۰۲۴، برای مدت طولانی — حدود شش ماه — هیچ نمونه تازه‌ای از بدافزارهای مرتبط با PassiveNeuron  ندیدیم. با این حال از دسامبر ۲۰۲۴ موج جدیدی از عفونت‌ها مرتبط با PassiveNeuron پدیدار شد و آخرین موارد تا آگوست ۲۰۲۵ ادامه داشت. این عفونت‌ها سازمان‌های دولتی، مالی و صنعتی در آسیا، آفریقا و آمریکای لاتین را هدف گرفتند.

پس از شناسایی این موارد جدید، توانستیم جزئیات بسیاری از جنبه‌های پیش‌تر نامعلوم کمپین را مشخص کنیم: نحوه ورود اولیه به شبکه و سرنخ‌هایی برای نسبت دادن حمله به یک بازیگر. در بررسی‌های مرتبط با عفونت‌های PassiveNeuron در ۲۰۲۴ و ۲۰۲۵ دیدیم که اکثریت قابل‌توجهی از ماشین‌های هدف، ویندوز سرور اجرا می‌کردند. در یک مورد مشخص، مهاجمان از طریق نرم‌افزار Microsoft SQL به اجرای فرمان از راه دور روی سرور دست یافتند.

اگرچه دید واضحی از چگونگی سوءاستفاده از SQL نداریم، اما معمولاً سرورهای SQL از یکی از این راه‌ها مورد نفوذ قرار می‌گیرند: اکسپلویت آسیب‌پذیری‌های خود نرم‌افزار سرور، سوءاستفاده از آسیب‌پذیری SQL Injection در اپلیکیشن‌های میزبانی‌شده روی سرور، یا به‌دست آوردن حساب مدیریت پایگاه‌داده (مثلاً با حدس یا جستجوی فراگیر رمز) و اجرای کوئری‌های مخرب SQL.پس از کسب توانایی اجرای کد از طریق نرم‌افزار SQL، مهاجمان سعی کردند یک وب‌شل ASPX برای اجرای دستورات مخرب روی سرور نصب کنند؛ اما در این مرحله برنامه آنتی‌ویروسِ نصب‌شده روی ماشین مانع نصب وب‌شل شد و فرایند نصب پر سروصدا بود. برای فرار از شناسایی، مهاجمان نصب وب‌شل را به این شکل اجرا می‌کردند: یک فایل شامل وب‌شل کدگذاری‌شده به صورت Base64 روی سیستم می‌گذاشتند، یک اسکریپت پاورشل برای کدگشایی کردن Base64 و نوشتن وب‌شل روی دیسک قرار می‌دادند و سپس آن اسکریپت را اجرا می‌کردند تا وب‌شل رمزگشایی‌شده روی فایل سیستم نوشته شود. چون راه‌اندازی وب‌شل توسط راهکار امنیتی متوقف می‌شد، مهاجمان چندین‌بار با تغییرات جزئی تلاش کردند — مثلاً استفاده از کدگذاری هگزادسیمال به‌جای Base64، استفاده از اسکریپت VBS به‌جای پاورشل، نوشتن محتوای اسکریپت خط‌به‌خط. وقتی نتوانستند وب‌شل را نصب کنند، به‌جای آن تصمیم گرفتند از ایمپلنت‌های پیشرفته‌تری برای ادامه تصرف استفاده کنند.

در دو سال اخیر در حملات مرتبط با کمپین PassiveNeuron سه ابزار مخرب روی سرورهای هدف دیده شد: ایمپلنت‌های سفارشی Neursite و NeuralExecutor و همچنین بسته تجاری Cobalt Strike. مهاجمان ابتدا چند لایه لودر از نوع DLL روی سرور می‌گذاشتند؛ هر لودر لودر بعدی را از روی دیسک می‌خواند و اجرا می‌کرد تا در نهایت یکی از ابزارهای مخرب اصلی بارگذاری شود. هدف از این زنجیرهچندمرحله‌ای دو چیز بود: اول به‌دست آوردن «پایداری» روی سرور (یعنی بدافزار پس از راه‌اندازی سیستم دوباره اجرا شود) و دوم «حرکت جانبی» در شبکه (استفاده از سرور آلوده برای نفوذ به ماشین‌ها و سرویس‌های دیگر).

به‌عبارت ساده: مهاجمان با گذاشتن چند لودر در نقاط سیستمی، راهی ساختند تا بدافزارهای جاسوسی پیچیده را مخفیانه و مقاوم در برابر پاک‌سازی اجرا کنند و از آن‌ها برای جابجایی و جمع‌آوری اطلاعات در شبکه استفاده کنند.چطور بارگذاری می‌شدند (زنجیره لودر)

•          لودر مرحله اول معمولاً به‌صورت یک فایل DLL داخل پوشه سیستمی ویندوز قرار داده می‌شد (مثلاً در مسیرهای داخل C:\Windows\System32\)، تا هنگام راه‌اندازی سیستم به‌طور خودکار بارگذاری شود.
•          مهاجمان فایل‌ها را بزرگ‌تر می‌کردند تا با افزودن دادهٔ زائد تشخیص آن‌ها سخت‌تر شود.
•          لودر مرحله اول ابتدا فهرست کارت‌های شبکه را می‌خواند، از هر کارت آدرس سخت‌افزاری (MAC) می‌گرفت و هش می‌کرد؛ اگر هیچ‌یک مطابق مقداری که در پیکربندی آمده نبود، اجرا متوقف می‌شد. این کار باعث می‌شد بدافزار فقط روی ماشین‌های هدف اجرا شود و در محیط‌های آزمایشی یا سندباکس اجرا نشود.
•          پس از تأیید هدف، لودر مرحله دوم را از دیسک بار می‌کرد. لودرهای مرحله دوم معمولاً باز هم بزرگ‌نمایی شده بودند و یک فایل متنی حاوی لودر مرحله سوم را که رمزنگاری شده و با متدهایی مثل Base64 کدگذاری شده بود باز می‌کرد و آن را اجرا می‌کرد.

تفاوت‌های پیاده‌سازی

•          در برخی موارد زنجیره بارگذاری بدون تزریق در فرآیند دیگر اجرا می‌شد یا روی دیسک با ابزارهایی مانند VMProtect مبهم‌سازی (ابسکفیکیشن) شده بود.
•          در برخی اهداف مهاجمان نتوانستند وب‌شل نصب کنند و به‌جای آن از ایمپلنت‌های پیشرفته‌تر استفاده کردند.

ایمپلنت‌های نهایی (آنچه روی ماشین‌ها اجرا شد)

•          Neursite:  یک بک‌دور ماژولارنوشته‌شده بهزبانC++ که برای جاسوسی به‌کار می‌رود. پیکربندی آن شامل آدرس‌های سرور فرمان‌وکنترل، پراکسی‌های HTTP، هدرهای HTTP، زمان‌بندی فعالیت (ساعات و روزهای هفته) و گزینه‌ای برای باز کردن پورت ورودی است. این ایمپلنت می‌تواند از TCP، SSL، HTTP  و HTTPS برای ارتباط استفاده کند. فرمان‌های پیش‌فرض شامل جمع‌آوری اطلاعات سیستم، مدیریت پردازه‌ها و پراکسی‌کردن ترافیک برای حرکت جانبی می‌شود.
•          NeuralExecutor:  یک ایمپلنت مبتنی بر .NET که وظیفه‌اش بارگیری و اجرای «بارهای» اضافی مبتنی بر .NET است. برای دشوارکردن تحلیل، از ابزار محافظت ConfuserEx استفاده کرده است. این ایمپلنت از روش‌های ارتباطی متعددی (TCP، HTTP/HTTPS، named pipes و WebSocket) پشتیبانی می‌کند.
•          Cobalt Strike:  چارچوب تجاری که معمولاً برای فعالیت قرمز تیمینگ[1] و اجرای بارهای متنوع استفاده می‌شود.

نکات مربوط به نسبت‌دهی (تعیین عامل تهدید)

•          هر دو ایمپلنت سفارشیNeursite و NeuralExecutor پیش‌تر در حملات دیگر مشاهده نشده بودند؛ برای نسبت‌دهی باید به نشانه‌ها و رفتارها دقت کرد.
•          در نمونه‌های NeuralExecutor نسخه ۲۰۲۴، رشته‌ای به زبان روسی دیده شد که احتمالاً توسط مهاجمان در ابزار ConfuserEx گذاشته شده بود. چون بازیگران تهدید گاهی از «پرچم‌های دروغین» استفاده می‌کنند، نباید صرفاً به این‌گونه رشته‌ها اعتماد کرد.
•          نمونه‌های ۲۰۲۵ دیگر آن نشانه روسی را نداشتند، اما در برخی نمونه‌ها روش به‌دست‌آوردن آدرس‌های سرور فرمان‌وکنترل شبیه تکنیکی است که معمولاً در کمپین‌های مرتبط با بازیگران چینی‌زبان دیده می‌شود — مثلاً استفاده از مخازنی مثل گیت‌هاب برای ذخیره و بازیابی آدرس‌های فرمان‌وکنترل.
•          همچنین یک DLL مخرب با مسیر PDB مشخص یافت شد که پیش‌تر در گزارش دیگری به بازیگر APT41  مرتبط شده بود؛ این هم می‌تواند نشانه‌ی همپوشانی ابزار یا وجود بازیگر دیگر در همان هدف باشد.
•          در مجموع رفتار، تکنیک‌ها و ابزارها بیشتر به شیوه‌هایی شبیه بازیگران چینی‌زبان می‌خورد، اما سطح اطمینان پایین است — یعنی احتمال نسبت‌دهی وجود دارد اما قاطع نیست.

نتیجه‌گیری
کمپین PassiveNeuron با این مشخصه متمایز شده که عمدتاً ماشین‌های سرور را هدف قرار می‌دهد. این سرورها، به‌خصوص آن‌هایی که در دسترس اینترنت هستند، معمولاً اهداف جذابی برای گروه‌های APT هستند چون می‌توانند به‌عنوان نقاط ورودی به سازمان‌های هدف عمل کنند. بنابراین بسیار مهم است که به محافظت از سرورها توجه ویژه شود. در هر جایی که ممکن است باید سطح حمله مربوط به این سرورها را به حداقل رساند و همه برنامه‌های سروری را پایش کرد تا جلوی عفونت‌های نوظهور به‌موقع گرفته شود. توجه خاصی باید به حفاظت برنامه‌ها در برابر تزریق SQL شود که معمولاً توسط بازیگران تهدید برای به‌دست آوردن دسترسی اولیه سوءاستفاده می‌شود. نکته دیگر تمرکز بر محافظت در برابر وب‌شل‌ها است که برای تسهیل تصرف سرورها به‌کار می‌روند.

[1]به مجموعه‌ای از تمرینات و آزمایشات امنیتی گفته می‌شود که با هدف شبیه‌سازی حملات واقعی به سیستم‌ها، شبکه‌ها و سازمان‌ها انجام می‌شود.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.