PassiveNeuron tái xuất, đe dọa hệ thống chính phủ và ngân hàng ở châu Á, Phi, Mỹ Latin

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
116
1.203 bài viết
PassiveNeuron tái xuất, đe dọa hệ thống chính phủ và ngân hàng ở châu Á, Phi, Mỹ Latin
WhiteHat Team
Một chiến dịch gián điệp mạng tinh vi mang tên PassiveNeuron vừa tái xuất với các cuộc tấn công có chủ đích (APT) nhắm vào cơ quan chính phủ, tổ chức tài chính và các tập đoàn công nghiệp tại châu Á, châu Phi và Mỹ Latin. Điều đáng lo ngại là chiến dịch này không phải mới, nó từng được phát hiện lần đầu vào năm 2024, sau đó “ngủ đông” suốt 6 tháng rồi bất ngờ hoạt động trở lại từ tháng 12/2024 đến tận tháng 8/2025.

kass.png

Các chuyên gia bảo mật cảnh báo PassiveNeuron cho thấy xu hướng mới của các nhóm APT hiện đại: Không ồn ào, không phá hủy mà lặng lẽ xâm nhập, thu thập dữ liệu và duy trì sự kiểm soát lâu dài trên hệ thống mục tiêu. Mục tiêu chính của chiến dịch không phải tống tiền hay phá hoại mà là gián điệp mạng, đánh cắp dữ liệu nhạy cảm và bí mật nội bộ.

Chiến dịch PassiveNeuron tập trung khai thác máy chủ Microsoft SQL Server (một nền tảng quản trị cơ sở dữ liệu phổ biến trong các hệ thống lớn).

Tin tặc sử dụng nhiều cách để chiếm quyền điều khiển ban đầu:
  • Khai thác lỗ hổng bảo mật trên SQL Server
  • Tấn công chèn mã độc (SQL Injection)
  • Đăng nhập trái phép bằng thông tin tài khoản bị rò rỉ
Sau khi chiếm quyền thực thi từ xa, chúng cố gắng cài web shell (ASPX) để duy trì truy cập. Tuy nhiên, do bị các hệ thống bảo mật chặn, chúng nhanh chóng chuyển sang dùng PowerShell, VBS, mã hóa Base64, mã hóa HEX và chia nhỏ mã độc để né phát hiện.

PassiveNeuron không cài mã độc trực tiếp mà sử dụng chuỗi tấn công nhiều giai đoạn cực kỳ phức tạp, được thiết kế để:
  • Vượt qua hệ thống chống virus
  • Chỉ kích hoạt trên máy mục tiêu đúng đối tượng
  • Duy trì kiểm soát lâu dài mà không bị phát hiện
Một số điểm tinh vi đáng chú ý:
  • DLL Loader (trình nạp mã độc) được giấu trong thư mục System32 dưới các tên giống file hệ thống như wlbsctrl.dll, TSMSISrv.dll, oci.dll
  • Các file này bị “độn” thành kích thước hơn 100MB bằng cách chèn dữ liệu rác, làm các hệ thống quét không kiểm tra kỹ
  • Chúng sử dụng kỹ thuật Phantom DLL hijacking để tự động chạy khi hệ thống khởi động
  • Mã độc chỉ kích hoạt nếu địa chỉ MAC của thiết bị trùng với danh sách mục tiêu được định sẵn, điều này chứng tỏ chiến dịch cực kỳ có chủ đích và không tấn công đại trà
Sau khi vượt qua chuỗi kiểm tra, hệ thống mã độc tiến đến giai đoạn cuối là tải implant cao cấp như Neursite hoặc NeuralExecutor. Những công cụ này có khả năng:
  • Thu thập thông tin hệ thống, người dùng
  • Liệt kê và điều khiển tiến trình
  • Lây lan sang hệ thống khác trong cùng mạng nội bộ
  • Tải thêm công cụ tấn công như Cobalt Strike
  • Thao tác với tệp, chuyển dữ liệu ra ngoài
Những tổ chức có nguy cơ bị ảnh hưởng cao nhất, bao gồm:
  • Cơ quan nhà nước và ngoại giao
  • Hệ thống ngân hàng – tài chính
  • Các doanh nghiệp công nghiệp quy mô lớn
  • Các công ty vận hành nhiều máy chủ SQL Server
  • Doanh nghiệp chưa triển khai bảo mật nhiều lớp (EDR, XDR)
Với các doanh nghiệp này, thiệt hại không chỉ là thất thoát dữ liệu mà còn có thể ảnh hưởng đến uy tín, chiến lược kinh doanh, thậm chí vấn đề an ninh quốc gia.

PassiveNeuron không gây ra sự cố ồn ào, không khóa máy đòi tiền chuộc. Nó “sống trong hệ thống”, chờ thời cơ và âm thầm chuyển dữ liệu ra ngoài. Đây là xu hướng đáng lo ngại của thế hệ tấn công mới không phá hoại mà kiểm soát lâu dài.

Chiến dịch nhắm vào các tổ chức chính phủ, tài chính, công nghiệp ở khu vực châu Á – trong đó Việt Nam có thể nằm trong phạm vi mục tiêu. Các chuyên gia an ninh mạng WhiteHat khuyến cáo người dùng hay doanh nghiệp cần thực hiện để chủ động "tự vệ" cho mình:
  • Kiểm tra và cập nhật các máy chủ SQL Server
  • Bật xác thực đa lớp (MFA) cho tài khoản quản trị
  • Theo dõi bất thường trong thư mục System32
  • Cảnh giác khi xuất hiện file DLL dung lượng “bất thường lớn”
  • Triển khai EDR/XDR có khả năng phân tích hành vi tiến trình
  • Áp dụng Zero Trust - không tin bất kỳ tiến trình nào nếu không xác minh
  • Thường xuyên kiểm tra các tiến trình bị tiêm mã vào các file hệ thống như WmiPrvSE.exe hoặc msiexec.exe
Chiến dịch PassiveNeuron là minh chứng rõ ràng cho một thực tế, tin tặc đang đầu tư mạnh vào chiến thuật “ẩn thân lâu dài” thay vì tấn công ồn ào kiểu ransomware. Doanh nghiệp cần chuyển đổi tư duy từ “chặn tấn công” sang “phát hiện kẻ xâm nhập ẩn dưới lớp vỏ hệ thống”, tăng khả năng giám sát sâu và chủ động phát hiện hành vi bất thường. Trong kỷ nguyên dữ liệu là quyền lực, kẻ thắng không phải người có tường lửa mạnh nhất mà là người phát hiện sớm nhất khi có “kẻ lạ” lặng lẽ bước vào hệ thống của mình.
WhiteHat
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Khi XWorm V6 trở lại: Mối đe dọa RAT “tái sinh” khuấy đảo an ninh mạng toàn cầu
  • Lừa đảo "tick xanh" qua Facebook Ads độc hại để đánh cắp tài khoản của người dùng
  • Tấn công supply chain nghiêm trọng trên NPM ảnh hưởng hàng tỷ lượt tải
  • Chiếm quyền tài khoản nhà phát triển npm, kẻ tấn công phát tán mã độc toàn cầu
  • Ransomware Crypto24 tấn công đa tầng, gây thiệt hại kép về tài chính và uy tín
  • Tấn công phishing qua link wrapping: Đánh cắp thông tin tài khoản Microsoft 365
    • Thẻ
    apt passiveneuron ransomware rce
    Bên trên