Geavanceerde malware richt zich op Microsoft Exchange-servers en biedt hackers "volledige controle"

ESET heeft de ontdekking aangekondigd van een nieuw exemplaar van malware die specifiek gericht is op Microsoft Exchange Servers en die al 5 jaar wordt gebruikt om vijandige regeringen en andere geavanceerde persistente bedreigingen volledige controle te bieden over de e-mail van bedrijven die het doelwit zijn.

Lightneuron is een van de meest complexe achterdeurtjes die ooit op een e-mailserver zijn gezien; en Russische cybercriminelen gebruiken het als een MTA voor Microsoft Exchange e-mailservers.

De hackers kunnen volledige controle hebben over alles wat door een geïnfecteerde e-mailserver gaat, wat betekent dat ze de inhoud van inkomende of uitgaande e-mails kunnen onderscheppen en bewerken.

"Voor zover wij weten, is dit de eerste malware die specifiek gericht is op Microsoft Exchange", meldt ESET Malware Researcher Matthieu Faou.

“Turla richtte zich in het verleden op e-mailservers met behulp van een malware genaamd Neuron (ook bekend als DarkNeuron), maar het was niet specifiek ontworpen om te communiceren met Microsoft Exchange.

“Sommige andere APT's gebruiken traditionele achterdeurtjes om de activiteit van mailservers te monitoren. LightNeuron is echter de eerste die rechtstreeks is geïntegreerd in de werkstroom van Microsoft Exchange”, zegt Faou.

Wat LightNeuron uniek maakt, is het commando-en-controlemechanisme en het gebruik van steganografie. Turla-hackers verbergen opdrachten in PDF- en JPG-afbeeldingen die per e-mail zijn verzonden, die door de achterdeur worden gelezen en uitgevoerd. Dit maakt het voor slachtofferorganisaties aanzienlijk moeilijker op te sporen.

ESET heeft een wit papier vandaag met gedetailleerde verwijderingsinstructies, maar met LightNeuron dat op de diepste niveaus van een Microsoft Exchange-server werkt, zal dit erg moeilijk blijken te zijn.

Bron: zdnet