A kifinomult rosszindulatú programok a Microsoft Exchange szervereket célozzák meg, a hackereknek "teljes irányítást" kínálnak

Az ESET bejelentette, hogy felfedezték a kártevők új példányát, amely kifejezetten a Microsoft Exchange szervereket célozza meg, és amelyet 5 éve használnak arra, hogy ellenséges kormányoknak és egyéb továbbfejlesztett tartós fenyegetéseknek teljes ellenőrzést biztosítsanak a megcélzott vállalatok e-mailjei felett.

A Lightneuron az egyik legbonyolultabb hátsó ajtó, amelyet valaha e-mail szerveren találtak; és az orosz kiberbűnözők úgy használják MTA Microsoft Exchange e-mail szerverekhez.

A hackerek teljes mértékben ellenőrizhetik mindazt, ami egy fertőzött e-mail szerveren halad át, vagyis elfoghatják és szerkeszthetik a bejövő vagy kimenő e-mailek tartalmát.

„Tudomásunk szerint ez az első olyan rosszindulatú program, amely kifejezetten a Microsoft Exchange-et célozza meg” – jelentette Matthieu Faou, az ESET malware-kutatója.

„A Turla a múltban egy Neuron (más néven DarkNeuron) nevű rosszindulatú program segítségével célozta meg az e-mail szervereket, de azt nem kifejezetten a Microsoft Exchange szolgáltatással való interakcióra tervezték.

„Néhány más APT hagyományos hátsó ajtókat használ a levelezőszerverek tevékenységének megfigyelésére. A LightNeuron azonban az első, amelyet közvetlenül integráltak a Microsoft Exchange munkafolyamatába” – mondta Faou.

A LightNeuron egyedivé teszi a parancs- és vezérlési mechanizmust és a használatát szteganográfia. A Turla hackerei parancsokat rejtenek el az e-mailben küldött PDF és JPG képekben, amelyeket a hátsó ajtó beolvas és végrehajt. Ez jelentősen megnehezíti az áldozatszervezetek felderítését.

Az ESET kiadta a fehér papír ma részletes eltávolítási utasításokkal, de mivel a LightNeuron a Microsoft Exchange szerver legmélyebb szintjein dolgozik, ez nagyon nehéznek bizonyul.

Forrás: zdnet