一般来说，黑客从事网络间谍活动，许多都是针对微软邮件服务器Exchange Server而来，但如今也有攻击者将目标转向数据库系统SQL Server的现象。

安全企业卡巴斯基近日揭露名为PassiveNeuron的网络间谍活动，黑客使用名为Neursite与NeuralExecutor两款恶意程序，在亚洲、非洲和拉丁美洲开展相关活动，目标涵盖政府机构、金融机构以及工业企业。这起攻击大约从去年6月开始出现，之后黑客暂停了约半年活动，直到12月，卡巴斯基再次发现新的攻击，最新一波发生在今年8月。

关于攻击者初期获取的访问途径，卡巴斯基指出，大多数被锁定的目标都运行Windows Server主机，且多数可能也安装了SQL Server。在其中一次攻击行动中，他们发现攻击者通过SQL Server获得了远程执行任意命令的能力。然而，攻击者具体是如何得逞的？卡巴斯基表示尚不清楚，推测可能是利用SQL Server漏洞、SQL注入手法，或通过暴力破解等方式获取管理账户权限来实现目的。

随后，攻击者试图部署ASPX文件的Web Shell，但未成功，于是转而使用Neursite、NeuralExecutor以及Cobalt Strike继续后续操作。

其中，Neursite是用C++开发的模块化后门程序，可通过TCP、SSL、HTTP以及HTTPS等多种通信协议进行C2通信，攻击者可用其获取系统信息、控制受害主机正在运行的进程，并通过其他受害主机作为代理流量进行横向移动。此外，攻击者还可加载插件，执行Shell命令和文件系统管理等操作。

另一款恶意程序NeuralExecutor，是基于.NET开发的恶意程序加载工具，也能通过多种方式与C2服务器通信，包括：TCP、HTTP与HTTPS、命名管道以及WebSocket。同时，它也具备后门功能，攻击者可发送指令，并加载执行.NET程序。

近期黑客针对SQL Server发起攻击，从而在受害企业和组织中搜集情报的情况已有先例。9月底，安全企业Palo Alto Networks指出，他们长期追踪的中国黑客组织Phantom Taurus，自今年初开始针对SQL Server下手，通过特定脚本从数据库中提取数据。尽管两起事件均涉及SQL Server，但PassiveNeuron中的攻击者是将其作为入侵组织的初始入口，而Phantom Taurus则是试图从该数据库系统中窃取机密信息。