Sofistikovaný malvér sa zameriava na servery Microsoft Exchange a ponúka hackerom „plnú kontrolu“

Spoločnosť ESET oznámila objavenie nového exempláru malvéru zacieleného špecificky na servery Microsoft Exchange, ktorý sa už 5 rokov používa na to, aby ponúkol nepriateľským vládam a iným pokročilým perzistentným hrozbám plnú kontrolu nad e-mailom cieľových spoločností.

Lightneuron je jedným z najkomplexnejších zadných vrátok, aké boli kedy zaznamenané na e-mailovom serveri; a ruskí počítačoví zločinci ho používajú ako MTA pre e-mailové servery Microsoft Exchange.

Hackeri môžu mať plnú kontrolu nad všetkým, čo prechádza cez infikovaný e-mailový server, čo znamená, že môžu zachytávať a upravovať obsah prichádzajúcich alebo odchádzajúcich e-mailov.

„Pokiaľ je nám známe, toto je prvý malvér špecificky zameraný na Microsoft Exchange,“ uviedol výskumník ESET Malware Matthieu Faou.

„Turla sa v minulosti zamerala na e-mailové servery pomocou malvéru s názvom Neuron (aka DarkNeuron), ale nebol špeciálne navrhnutý na interakciu s Microsoft Exchange.

„Niektoré iné APT používajú tradičné zadné vrátka na monitorovanie aktivity poštových serverov. LightNeuron je však prvý, ktorý je priamo integrovaný do pracovného toku Microsoft Exchange,“ povedal Faou.

To, čo robí LightNeuron jedinečným, je jeho príkazový a riadiaci mechanizmus a použitie steganografia. Hackeri Turla skrývajú príkazy vo vnútri obrázkov PDF a JPG odoslaných e-mailom, ktoré backdoor číta a vykonáva. To značne sťažuje odhalenie organizácií obetí.

ESET vydal a biely papier dnes s podrobnými pokynmi na odstránenie, ale s LightNeuron pracujúcim na najhlbších úrovniach servera Microsoft Exchange sa to ukáže ako veľmi ťažké.

zdroj: zdnet