×
ms-exchange.png
Een russische cyber-spionage groep heeft ontwikkeld en is met behulp van een van de meest complexe backdoors ooit gespot op een e-mailserver, volgens een nieuw onderzoek dat vandaag is gepubliceerd door sony cyber-security bedrijf ESET.
De achterdeur, met de naam LightNeuron, werd specifiek ontworpen voor Microsoft Exchange e-mail servers en werkt als een mail transfer agent (MTA) –een aanpak die geen andere backdoor ooit heeft genomen.
“Voor zover wij weten is dit de eerste malware die specifiek gericht zijn op Microsoft Exchange,” ESET Malware Onderzoeker Matthieu Faou vertelde ZDNet via e-mail.
“Turla gerichte e-mail-servers in het verleden aan de hand van een malware genaamd Neuron a.k.een DarkNeuron), maar het was niet specifiek ontworpen om te communiceren met Microsoft Exchange.
“Sommige andere Kamer gebruik maken van traditionele backdoors te controleren mail servers’ activiteit. Echter, LightNeuron is de eerste, die direct worden geïntegreerd in de stroom van Microsoft Exchange,” Faou ons verteld.
Vanwege de diepe niveau van de achterdeur van de werken, LightNeuron laat hackers volledige controle over alles dat gaat via een geïnfecteerde e-mail server, met de mogelijkheid om te onderscheppen, omleiden, of het bewerken van de inhoud van inkomende of uitgaande e-mails.
LightNeuron ontwikkeld door Turla groep
Dit maakt LightNeuron een van de meest krachtige tools in zijn soort, en een programma geschikt is om te worden in het arsenaal van Turla, één van ‘ s werelds meest geavanceerde natie-staat, hacking-eenheden.
De Turla APT (advanced persistent threat) is berucht voor zijn activiteiten in het verleden die lijken te worden getrokken van Hollywood-films. De groep is bekend om te kapen en het gebruik van telecommunicatie-satellieten te leveren malware naar afgelegen gebieden van de wereld, heeft zich ontwikkeld malware die verborg haar controle mechanisme in de commentaren op Britney Spears’ Instagram foto ‘s, en heeft gekaapt, de infrastructuur van de hele Isp’ s om gebruikers om te leiden naar malware.
In een rapport dat vandaag werd vrijgegeven, ESET zegt dat Turla is met behulp van LightNeuron voor bijna vijf jaar, sinds 2014, die steeds weer blijkt dat het hulpprogramma geavanceerde mogelijkheden, in staat om detectie te voorkomen voor zo vele jaren.
Om eerlijk te zijn, de eerste vermelding van LightNeuron was in een Kaspersky Lab rapport over de APT Trends van Q2 2018. Echter, Kaspersky alleen beschreven de tool in het kort. De ESET rapport dat vandaag werd vrijgegeven schijnt meer licht op de hulpprogramma ‘ s unieke mogelijkheden die het onderscheiden van alle andere backdoors ingezet op e-mail servers tot nu toe.
De onderzoekers waarschuwen dat LightNeuron wordt momenteel gebruikt in de live-aanvallen en dat Turla ook lijkt te hebben gemaakt van een UNIX-haven –ESET nog niet heeft kunnen vinden tot nu toe.
De slowaakse cyber-security bedrijven zei dat het gedetecteerd drie slachtoffer organisaties die besmet zijn met Turla de LightNeuron achterdeur. Het bedrijf heeft niet de naam van de slachtoffers, maar die algemene beschrijvingen:
– Onbekende organisatie in Brazilië
– Ministerie van Buitenlandse Zaken in Oost-Europa
– Regionale diplomatieke organisatie in het Midden-Oosten
Een slimme manier van het controleren van LightNeuron
Volgens de onderzoekers, het ding dat LightNeuron opvallen, naast het feit dat de eerste backdoor voor Microsoft Exchange-servers, was de command-and-control mechanisme.
Zodra een Microsoft Exchange server is geïnfecteerd en veranderd met de LightNeuron achterdeur, hackers sluit nooit rechtstreeks. In plaats daarvan sturen ze e-mails met PDF-of JPG-bijlagen.
Het gebruik van de techniek van steganografie, Turla hackers verbergen van opdrachten in PDF-en JPG-afbeeldingen, die de backdoor leest en vervolgens uitgevoerd.
Per ESET, LightNeuron is geschikt voor het lezen en wijzigen van een e-mail gaat via de Exchange server, het opstellen en verzenden van nieuwe e-mails, en het blokkeren van een gebruiker van het ontvangen van bepaalde e-mails.
Bovendien slachtoffer organisaties hebben een harde tijd het opsporen van eventuele interacties tussen Turla operatoren en hun backdoor, vooral omdat de commando ‘ s zijn verborgen in een PDF/JPG-code en de inkomende e-mails kunnen worden vermomd als banaal spam.
Bovendien, als iedereen had twijfels LightNeuron was het werk van de russische hackers, ESET onderzoekers zei dat in de gevallen, zij onderzochten vonden ze dat Turla operators alleen verzonden commando ‘ s te backdoored servers tijdens een normale 9-tot-5 werkdag in UTC+3 (Moskou) tijdzone, en nam een pauze van alle activiteiten tussen December 28, 2018, en 14 januari, de typische Kerst en nieuwjaar vakantie voor Oosters-Orthodoxe Christenen –Rusland is de belangrijkste godsdienst.
Afbeelding: ESET
×
lightneuron.png
Omdat LightNeuron werkt op het diepste niveau van een Microsoft Exchange server, het verwijderen van deze backdoor is een heel probleem.
ESET uitgebracht, een white paper vandaag met gedetailleerde instructies voor het verwijderen.
Gerelateerde malware en cybercriminaliteit dekking:
Een hacker is af te vegen Git repositories en vragen om een ransomHackers stelen van de gegevens van de kaart van 201 online campus winkels van Canada en de USChinese hackers werden met behulp van NSA malware een jaar voordat Schaduw Makelaars leakSurge van MegaCortex ransomware aanvallen detectedMalvertiser achter 100+ miljoen slecht advertenties gearresteerd en uitgeleverd aan de USHacker neemt 29 IoT botnetsThe donkere web is kleiner en minder gevaarlijk dan we denken TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters