Un malware sofisticato prende di mira i server Microsoft Exchange e offre agli hacker il "pieno controllo"

ESET ha annunciato la scoperta di un nuovo esemplare di malware mirato specificamente ai server Microsoft Exchange e che è stato utilizzato per 5 anni per offrire ai governi ostili e ad altre minacce persistenti avanzate il pieno controllo sull'e-mail delle aziende prese di mira.

Lightneuron è una delle backdoor più complesse mai individuate su un server di posta elettronica; e i criminali informatici russi lo stanno usando come un MTA per i server di posta elettronica Microsoft Exchange.

Gli hacker possono avere il pieno controllo su tutto ciò che passa attraverso un server di posta infetto, il che significa che possono intercettare e modificare il contenuto delle e-mail in entrata o in uscita.

"Per quanto ne sappiamo, questo è il primo malware specificamente mirato a Microsoft Exchange", ha riferito il ricercatore ESET Malware Matthieu Faou.

“Turla ha preso di mira i server di posta elettronica in passato utilizzando un malware chiamato Neuron (aka DarkNeuron), ma non è stato progettato specificamente per interagire con Microsoft Exchange.

“Alcuni altri APT utilizzano backdoor tradizionali per monitorare l'attività dei server di posta. Tuttavia, LightNeuron è il primo ad essere integrato direttamente nel flusso di lavoro di Microsoft Exchange", ha affermato Faou.

Ciò che rende unico LightNeuron è il suo meccanismo di comando e controllo e l'uso di steganografia. Gli hacker di Turla nascondono i comandi all'interno di immagini PDF e JPG inviate via e-mail, che la backdoor legge ed esegue. Ciò rende notevolmente più difficile l'individuazione per le organizzazioni delle vittime.

ESET ha rilasciato a white paper oggi con istruzioni dettagliate per la rimozione, ma con LightNeuron che lavora ai livelli più profondi di un server Microsoft Exchange, questo si rivelerà molto difficile.

Fonte: ZDNet