Эксперты из лаборатории Kaspersky GReAT сообщили о новом витке атак с использованием трояна PassiveNeuron, который был активен с декабря 2024 года по август 2025 года. Этот вредоносный программный комплекс стал частью крупной кибератакующей кампании, нацеленной на правительственные, финансовые и промышленные организации, расположенные в Азии, Африке и Латинской Америке. Большинство инцидентов происходили на серверах с операционной системой Windows, что предполагает высокую степень целенаправленности и скоординированности действий злоумышленников.

Новая волна атак, в отличие от предыдущих, отличается использованием ряда современных инструментов, что позволило злоумышленникам более эффективно скрываться от систем защиты и увеличивать время своего пребывания в сетях жертв. На протяжении всей кампании они использовали три ключевых инструмента для доступа и управления заражёнными системами. Среди них можно выделить известный фреймворк Cobalt Strike, который уже давно используется киберпреступниками для проведения атак на предприятия и организации, а также два новых инструмента, которые, по мнению экспертов, могли значительно повысить уровень угрозы.

Первым из этих инструментов стал бэкдор Neursite, который позволяет атакующим собирать информацию о системе, управлять её процессами, а также перемещаться по сети. Это делает его мощным инструментом для глубокой инвазии в инфраструктуру и продолжительного присутствия в заражённых системах. Neursite позволяет злоумышленникам практически беспрепятственно исследовать внутреннюю сеть и использовать её для дальнейших атак или для эксфильтрации ценной информации.

Вторым инструментом является имплант NeuralExecutor, который работает с технологиями.NET. Этот имплант может загружать дополнительные сборки с командного сервера, что даёт атакующим возможность не только внедрять новый вредоносный код в систему, но и обновлять уже существующий. Такое поведение значительно затрудняет обнаружение атакующих, так как они могут адаптировать свою тактику в реальном времени, изменяя механизмы атак в зависимости от обстоятельств.

Что интересно, анализ кода трояна показал использование кириллических символов. Этот факт вызвал подозрения у экспертов, так как он может свидетельствовать о намеренном запутывании следов для исследователей. Использование кириллических символов является довольно редким явлением в киберпреступности, и такие действия могут быть частью попытки скрыть происхождение атаки. Это также подогревает версию, что за данной атакой стоит группа, говорящая на китайском языке, однако Kaspersky не уверены в этом на 100%. Применение подобных символов может быть просто частью тактического подхода или методикой, направленной на осложнение анализа вредоносного кода.

По данным Kaspersky, последствия атак с использованием PassiveNeuron могут быть весьма серьёзными для организаций, особенно тех, которые имеют критически важную информацию или работают в высокозащищённых секторах, таких как правительственные и финансовые учреждения. Не исключено, что злоумышленники использовали эти инструменты для разведки, сбора разведывательной информации или для дальнейшей подготовки более масштабных кибератак, нацеленных на дестабилизацию или шантаж.

Эксперты подчеркивают, что новые инструменты, такие как Neursite и NeuralExecutor, значительно увеличивают возможности злоумышленников, и противостоять таким атакам будет гораздо сложнее. Системы безопасности, которые не обновляются своевременно, могут оказаться уязвимыми перед такими угрозами, как бэкдоры и импланты. Важно отметить, что такие атаки могут развиваться по типу "постоянного присутствия", когда злоумышленники остаются в сети на протяжении длительного времени, не вызывая подозрений.

Анализ подобных инцидентов показывает, как важно своевременно обновлять системы безопасности, а также следить за текущими угрозами, чтобы минимизировать риски. Для защиты от таких атак компаниям рекомендуется использовать многоуровневые решения по защите информации, включая антивирусные программы, системы обнаружения вторжений и средства мониторинга сети, которые смогут зафиксировать любые аномалии и попытки несанкционированного доступа.

Согласно выводам Kaspersky, несмотря на сложность текущей угрозы, у организаций есть все шансы минимизировать последствия атак с использованием трояна PassiveNeuron, если они будут предпринимать активные меры для защиты своих информационных систем. Важно, чтобы сотрудники компаний понимали важность безопасности и участвовали в процессах защиты, что поможет предотвратить возможные атаки в будущем.