「PassiveNeuron」駭客鎖定 SQL 伺服器 展開網路間諜行動

近期資安研究指出，一個名為 PassiveNeuron 的持續性網路間諜行動，正針對亞洲、非洲及拉丁美洲的政府、工業與金融機構伺服器發動攻擊。研究人員發現，攻擊者使用兩款自製惡意程式：Neursite 與 NeuralExecutor，分別為 C++ 模組化後門及可執行額外 .NET payload 的植入程式，並輔助商業滲透工具 Cobalt Strike 進行攻擊。

由於伺服器常為組織內部系統入口，尤其是對外公開的 SQL Server，更容易成為 APT（高階持續性威脅）的主要目標。攻擊手法包括漏洞利用、SQL 注入及資料庫管理員帳號暴力破解，以取得初始存取權限並植入後門。

PassiveNeuron 首次於 2024 年被發現，自此行動持續至 2025 年，呈現多波次感染。研究人員指出，程式碼中曾出現俄文「Супер обфускатор（Super obfuscator）」字串，但這可能為偽旗手法，混淆調查方向。2025 年樣本更利用 Dead Drop Resolver 技術，透過合法外部服務（如 GitHub）獲取指揮與控制（C2）伺服器資訊。

卡巴斯基（Kaspersky） 研究人員表示，此技術在中國語系駭客的 EastWind 行動中使用頻繁，因此初步將 PassiveNeuron 歸屬於中國語系駭客，雖信心程度偏低，但行動特徵與 TTP（戰術、技術與程序）明顯符合該族群模式。

自製惡意程式特性與防護建議

分析顯示，Neursite 後門能透過 TCP、SSL、HTTP 與 HTTPS 與 C2 伺服器通訊，可直接連線或透過內部受害機器轉發流量。它支援系統資訊蒐集、程序管理及插件擴展，包括 shell 指令執行、檔案系統管理及 TCP 套接字操作，並可作為跳板進行橫向移動。NeuralExecutor 則透過 TCP、HTTP/HTTPS、命名管線與 WebSockets 與 C2 建立通訊，主要功能是接收並執行額外 .NET payload，增強攻擊者的持續監控與資料竊取能力。

Kaspersky 強調，APT 攻擊者通常鎖定高價值伺服器，長期監控並蒐集敏感資料。由於 PassiveNeuron 對 SQL Server 偏好明顯，組織應加強應用程式安全、修補 SQL 注入漏洞、避免弱密碼及持續監控異常活動。

同時，防護措施應包括檢查 Web Shell、限制不必要的外部服務存取、配置防火牆及入侵偵測系統，並定期審查伺服器帳號權限與日誌，以降低資料外洩及橫向移動風險。這起行動提醒全球組織，APT 攻擊具有高度隱蔽性與持續性，防護策略需結合技術、管理與監控，才能有效保障關鍵資產與敏感資料安全。

本文轉載自darkreading。