Duy Linh
Writer
Một chiến dịch gián điệp mạng tinh vi mang tên PassiveNeuron đã xuất hiện trở lại sau nhiều tháng ẩn náu, khi các nhà nghiên cứu an ninh mạng phát hiện thêm nhiều chi tiết về hoạt động và phương pháp tấn công của nó.
PassiveNeuron nhắm mục tiêu vào các máy chủ cấu hình cao để triển khai phần mềm độc hại
Lần đầu được phát hiện vào tháng 6 năm 2024, PassiveNeuron im lặng gần sáu tháng trước khi tái xuất vào tháng 12 năm 2024 với mức độ tinh vi cao hơn, nhắm vào các tổ chức chính phủ, tài chính và công nghiệp tại châu Á, châu Phi và châu Mỹ Latinh. Đến tháng 8 năm 2025, làn sóng tấn công vẫn tiếp diễn, cho thấy sự kiên trì và tổ chức của tác nhân đứng sau.
Chiến dịch này thường khai thác máy chủ Microsoft SQL để giành quyền truy cập ban đầu vào mạng mục tiêu. Kẻ tấn công lợi dụng lỗ hổng SQL hoặc thực hiện tấn công brute-force để xâm nhập máy chủ Windows. Sau khi chiếm quyền truy cập, họ triển khai web shell ASPX để duy trì chỗ đứng, dù nhiều nỗ lực ban đầu đã bị hệ thống bảo mật ngăn chặn.
Tính thích ứng và thủ thuật né tránh
Khi bị phát hiện, nhóm tấn công cho thấy khả năng thích ứng cao, liên tục thay đổi kỹ thuật để qua mặt các giải pháp bảo mật. Chúng chuyển đổi giữa mã hóa Base64 và thập lục phân, thay đổi từ PowerShell sang tập lệnh VBS, và áp dụng kỹ thuật viết từng dòng để tránh bị phát hiện. Những thay đổi này giúp chúng duy trì quyền kiểm soát dù bị giám sát chặt chẽ.
Kho phần mềm độc hại tùy chỉnh
PassiveNeuron sử dụng ba thành phần phần mềm độc hại chính: Neursite, NeuralExecutor và nền tảng thương mại Cobalt Strike.
Neursite là backdoor mô-đun viết bằng C++ với hệ thống cấu hình phức tạp, hỗ trợ nhiều máy chủ C2, proxy HTTP và hoạt động theo lịch trình. Kiến trúc plugin cho phép tải thêm các chức năng như thực thi lệnh shell, quản lý tệp và thao tác socket TCP.
NeuralExecutor là trình tải dựa trên .NET được bảo vệ bởi ConfuserEx. Nó có thể nhận và thực thi các tải trọng .NET bổ sung từ máy chủ chỉ huy và điều khiển, giao tiếp qua TCP, HTTP/HTTPS, named pipes và WebSockets. Phiên bản mới năm 2025 sử dụng kỹ thuật Dead Drop Resolver, truy xuất địa chỉ C2 từ GitHub để tăng độ ẩn danh và gây khó khăn cho việc phát hiện.
Cả hai phần mềm đều được triển khai thông qua chuỗi trình tải DLL phức tạp, trong đó DLL giai đoạn đầu có kích thước hơn 100 MB nhằm cản trở phân tích. Chúng còn sử dụng Phantom DLL Hijacking, tự động duy trì trong thư mục System32 và tải lại khi hệ thống khởi động. Các trình tải này cũng kiểm tra địa chỉ MAC để chỉ chạy trên máy nạn nhân mục tiêu, giúp tránh bị phân tích trong môi trường hộp cát.
Dấu vết và khuyến nghị phòng thủ
Mặc dù danh tính kẻ tấn công chưa được xác định rõ, các nhà nghiên cứu phát hiện nhiều dấu hiệu cho thấy tác nhân có thể nói tiếng Trung Quốc. Một số kỹ thuật trong NeuralExecutor 2025 tương đồng với chiến dịch EastWind, trước đây liên kết với APT31 và APT27. Ngoài ra, một DLL độc hại được tìm thấy có đường dẫn PDB trùng khớp với báo cáo về APT41.
Các mẫu đầu năm 2024 từng chứa chuỗi tiếng Nga như “Супер обфускатор” (Super obfuscator), được cho là dấu hiệu đánh lừa nhà nghiên cứu. Chuỗi này biến mất trong phiên bản 2025, cho thấy nhóm tấn công đã cải tiến kỹ thuật che giấu.
Chiến dịch này nhắm vào các mục tiêu giá trị cao, thể hiện qua việc sử dụng bộ lọc địa chỉ MAC và chiến lược tấn công riêng cho từng máy chủ. Để phòng vệ, các chuyên gia khuyến nghị triển khai biện pháp chống SQL injection, giám sát ứng dụng máy chủ chặt chẽ và tăng cường khả năng phát hiện web shell. Bảo vệ máy chủ kết nối internet là yếu tố then chốt để ngăn chặn các cuộc xâm nhập tương tự.
Đọc chi tiết tại đây: https://gbhackers.com/passiveneuron/
PassiveNeuron nhắm mục tiêu vào các máy chủ cấu hình cao để triển khai phần mềm độc hại
Lần đầu được phát hiện vào tháng 6 năm 2024, PassiveNeuron im lặng gần sáu tháng trước khi tái xuất vào tháng 12 năm 2024 với mức độ tinh vi cao hơn, nhắm vào các tổ chức chính phủ, tài chính và công nghiệp tại châu Á, châu Phi và châu Mỹ Latinh. Đến tháng 8 năm 2025, làn sóng tấn công vẫn tiếp diễn, cho thấy sự kiên trì và tổ chức của tác nhân đứng sau.
Chiến dịch này thường khai thác máy chủ Microsoft SQL để giành quyền truy cập ban đầu vào mạng mục tiêu. Kẻ tấn công lợi dụng lỗ hổng SQL hoặc thực hiện tấn công brute-force để xâm nhập máy chủ Windows. Sau khi chiếm quyền truy cập, họ triển khai web shell ASPX để duy trì chỗ đứng, dù nhiều nỗ lực ban đầu đã bị hệ thống bảo mật ngăn chặn.
Tính thích ứng và thủ thuật né tránh
Khi bị phát hiện, nhóm tấn công cho thấy khả năng thích ứng cao, liên tục thay đổi kỹ thuật để qua mặt các giải pháp bảo mật. Chúng chuyển đổi giữa mã hóa Base64 và thập lục phân, thay đổi từ PowerShell sang tập lệnh VBS, và áp dụng kỹ thuật viết từng dòng để tránh bị phát hiện. Những thay đổi này giúp chúng duy trì quyền kiểm soát dù bị giám sát chặt chẽ.
Kho phần mềm độc hại tùy chỉnh
PassiveNeuron sử dụng ba thành phần phần mềm độc hại chính: Neursite, NeuralExecutor và nền tảng thương mại Cobalt Strike.
Neursite là backdoor mô-đun viết bằng C++ với hệ thống cấu hình phức tạp, hỗ trợ nhiều máy chủ C2, proxy HTTP và hoạt động theo lịch trình. Kiến trúc plugin cho phép tải thêm các chức năng như thực thi lệnh shell, quản lý tệp và thao tác socket TCP.
NeuralExecutor là trình tải dựa trên .NET được bảo vệ bởi ConfuserEx. Nó có thể nhận và thực thi các tải trọng .NET bổ sung từ máy chủ chỉ huy và điều khiển, giao tiếp qua TCP, HTTP/HTTPS, named pipes và WebSockets. Phiên bản mới năm 2025 sử dụng kỹ thuật Dead Drop Resolver, truy xuất địa chỉ C2 từ GitHub để tăng độ ẩn danh và gây khó khăn cho việc phát hiện.
Cả hai phần mềm đều được triển khai thông qua chuỗi trình tải DLL phức tạp, trong đó DLL giai đoạn đầu có kích thước hơn 100 MB nhằm cản trở phân tích. Chúng còn sử dụng Phantom DLL Hijacking, tự động duy trì trong thư mục System32 và tải lại khi hệ thống khởi động. Các trình tải này cũng kiểm tra địa chỉ MAC để chỉ chạy trên máy nạn nhân mục tiêu, giúp tránh bị phân tích trong môi trường hộp cát.
Dấu vết và khuyến nghị phòng thủ
Mặc dù danh tính kẻ tấn công chưa được xác định rõ, các nhà nghiên cứu phát hiện nhiều dấu hiệu cho thấy tác nhân có thể nói tiếng Trung Quốc. Một số kỹ thuật trong NeuralExecutor 2025 tương đồng với chiến dịch EastWind, trước đây liên kết với APT31 và APT27. Ngoài ra, một DLL độc hại được tìm thấy có đường dẫn PDB trùng khớp với báo cáo về APT41.
Các mẫu đầu năm 2024 từng chứa chuỗi tiếng Nga như “Супер обфускатор” (Super obfuscator), được cho là dấu hiệu đánh lừa nhà nghiên cứu. Chuỗi này biến mất trong phiên bản 2025, cho thấy nhóm tấn công đã cải tiến kỹ thuật che giấu.
Chiến dịch này nhắm vào các mục tiêu giá trị cao, thể hiện qua việc sử dụng bộ lọc địa chỉ MAC và chiến lược tấn công riêng cho từng máy chủ. Để phòng vệ, các chuyên gia khuyến nghị triển khai biện pháp chống SQL injection, giám sát ứng dụng máy chủ chặt chẽ và tăng cường khả năng phát hiện web shell. Bảo vệ máy chủ kết nối internet là yếu tố then chốt để ngăn chặn các cuộc xâm nhập tương tự.
Đọc chi tiết tại đây: https://gbhackers.com/passiveneuron/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview