كشفت شركة Kaspersky عن حملة تجسّس سيبرانية متطورة أُطلق عليها اسم PassiveNeuron، تستهدف بالأساس خوادم المؤسسات الحكومية والمالية والصناعية في مناطق متعددة حول العالم. الحملة رُصِدت لأول مرة في نوفمبر 2024 مع هجمات جرت في يونيو من تلك السنة، ولاحظ الباحثون موجات إصابة متجددة اتسعت بين ديسمبر 2024 وسبتمبر 2025، مستخدمة برمجيات خبيثة جديدة تُعرف باسم Neursite وNeuralExecutor، إلى جانب أدوات مساعدة أخرى.
من هم الضحايا وأساليب الوصول الأولي؟
استهدفت الحملة مؤسسات في آسيا وأفريقيا وأمريكا اللاتينية، مع تركيز واضح على خوادم معرّضة للإنترنت كونها بوابات قيمة للوصول إلى الشبكات الداخلية. في حالة واحدة على الأقل، منح المهاجمون أنفسهم قدرة تنفيذ أوامر عن بُعد على خادم Windows عبر استغلال قنوات Microsoft SQL — من المحتمل أن يكون ذلك عبر هجمات تخمين كلمات المرور الإدارية أو عبر ثغرة حقن SQL في تطبيق يستضيفه الخادم أو عبر ضعف غير معلوم في برمجية الخادم. محاولات نشر قواقع ويب من نوع ASPX باءت بالفشل في بعض الحالات، فحوّل المهاجمون مسارهم إلى نشر محمّلات DLL داخل مجلد System32 لتثبيت أحمال مُتقدمة.
الأدوات والقدرات: Neursite وNeuralExecutor وآليات الحركة الجانبية
الذراع البرمجية للحملة تضمّ:
-
Neursite: زرّ خلفي (backdoor) مخصّص مكتوب بلغة C++ مزود بنظام مكوّنات (plugin-based) يُمكّن المهاجم من جمع معلومات النظام، إدارة العمليات الجارية، وبناء قنوات بروكسي عبر أجهزة مُصابة أخرى لتمكين الحركة الجانبية. يستخدم Neursite تكوينًا مضمّنًا للاتصال بخوادم القيادة والتحكم عبر بروتوكولات TCP وSSL وHTTP/HTTPS.
-
NeuralExecutor: زرّ خلفي مبني على .NET مخصص لتحميل حمولات .NET إضافية عبر TCP أو HTTP/HTTPS أو الأنابيب المسماة (named pipes) أو WebSockets ثم تنفيذها. لاحظ الباحثون أن إصدارات 2024 اعتمدت عناوين C2 مضمّنة في الإعدادات، بينما تحوّلت إصدارات لاحقة إلى الاعتماد على مستودعات GitHub لاستخراج عناوين C2، ما يحوّل منصة استضافة الشيفرات الشرعية إلى “مستودع ميت” (dead drop resolver) لتمويه البُنى الخلفية.
-
إلى جانب ذلك، وُجدت أدوات شرعية مستخدمة في مرحلة ما مثل Cobalt Strike، بالإضافة إلى سلاسل تحميل تعتمد على محمّلات DLL موضوعة في System32.
الميزة التشغيلية للحملة تكمن في استخدامها الخوادم الداخلية المُخترقة كجزء من بنية C2 الوسيطة، ما يقلل الاعتماد على بنى تحتية خارجية مرئية ويسمح بتحويل الأجهزة المصابة إلى نقاط ارتكاز لسرقة البيانات وإنشاء شبكات افتراضية تتيح الوصول إلى أجهزة مفصولة عن الإنترنت.
تكتيكات المراوغة والبقاء وخصائص التهريب
اعتمد الفاعلون نهجًا مرنًا وديناميكيًا عبر بنية مكوّنات تسمح بتحميل ملحقات (plugins) لتوسيع القدرات وفق الحاجة — تنفيذ أوامر شل، إدارة نظام الملفات، وعمليات مقبس TCP. كما استغلت الحملة خوادم داخلية مُصابة لتعمل كقنوات وسيطة للقيادة والتحكم بهدف إخفاء أصل الاتصالات وتقليل فرص الاكتشاف.
تكتيكات أخرى شملت محاولة نشر قواقع ويب ثم الانتقال إلى محمّلات DLL عند الفشل؛ استخدام آليات اتصال متعددة (TCP/SSL/HTTP/HTTPS/WebSockets)؛ واعتماد GitHub كمصدر لإعدادات التحكم في بعض العينات الأحدث.
التبعات والتوصيات الفنية للمؤسسات
استهداف الخوادم بشكل أساسي يجعل PassiveNeuron تهديدًا بالغ الخطورة للمؤسسات؛ فاختراق خادم واحد معرض للإنترنت قد يؤدي إلى اختراق شبكات بأكملها وسرقة بيانات حساسة. توصيات فنية عاجلة:
-
تقييد وتعزيز وصول خوادم قواعد البيانات (مثل Microsoft SQL): فرض سياسات كلمات مرور قوية، تفعيل المصادقة متعددة العوامل حيث أمكن، وتقييد الوصول عبر جدران الحماية وقوائم التحكم بالوصول.
-
مراقبة السلوك على الخوادم المعرضة للإنترنت لاكتشاف محاولات الوصول غير المصرح بها أو أنماط تنفيذ الأوامر الشاذة.
-
فحص وجود محمّلات DLL غير معروفة في مسارات النظام الحساسة (مثل System32) وتطبيق قوائم سمعة لعمليات التحميل.
-
تدقيق التكوينات والوظائف على خوادم GitHub والمستودعات العامة لتتبع أي استخدام خبيث لمستودعات مشروعة كمصادر إعدادات أو تعليمات تحكم.
-
تنفيذ سلسلات استجابة للحوادث تشمل تحليل الحركة الجانبية، عزلة الخوادم المصابة، واستعادة الأنظمة من نسخ احتياطية نظيفة.
