ESET descobre malware que assume o controle total da comunicação por e-mail

By: TI Inside Online

A ESET descobriu o LightNeuron, um backdoor do Microsoft Exchange que pode ler, modificar ou bloquear qualquer e-mail que passe pelo servidor, incluindo escrever novas mensagens e enviá-las ,sob a identidade de qualquer usuário legítimo da escolha dos invasores. O malware é controlado remotamente por meio de anexos em formato PDF e JPG ocultos em mensagens recebidas pelos usuarios.

O LightNeuron atende aos servidores de e-mail Microsoft Exchange pelo menos desde 2014. Os pesquisadores da ESET identificaram três organizações diferentes vítimas da ameaça, incluindo um ministério de relações exteriores em um país da Europa Oriental e uma organização diplomática regional no Oriente Médio. No Brasil, no entanto, não se tem conhecimento ainda de qual organização teria sido afetada.

O LightNeuron é o primeiro malware conhecido a usar incorretamente o mecanismo do Microsoft Exchange. “Na arquitetura do servidor de e-mail, o LightNeuron pode operar com o mesmo nível de confiança que os produtos de segurança, como filtros de spam. Como resultado, esse malware oferece ao invasor controle total sobre o servidor de e-mail e, portanto, sobre toda a comunicação do usuário”, explica Matthieu Faou, pesquisador de malware da ESET que conduziu a investigação.

Os pesquisadores da ESET coletaram evidências sugerindo que o LightNeuron pertence ao grupo de espionagem Turla, também conhecido como Snake. Este grupo e suas atividades são amplamente investigados pela ESET. “Acreditamos que os profissionais de segurança de TI devem estar cientes dessa nova ameaça”, diz Faou.

Para fazer com que os e-mails de comando e controle (C&C) pareçam inocentes, o LightNeuron usa esteganografia para ocultar seus comandos em imagens PDF ou JPG válidas. A capacidade de controlar a comunicação por e-mail torna o LightNeuron uma ferramenta perfeita para vazar documentos e também para controlar outras máquinas locais por meio de um mecanismo de C&C, o que é muito difícil de detectar e bloquear.

Mais: http://tiinside.com.br/tiinside/13/05/2019/

 

‘LightNeuron’ backdoor receives secret commands via Microsoft Exchange email servers; Russian link suspected

By: Bradley Barth

Researchers have uncovered what they say is the very first malware to achieve persistence in Microsoft Exchange email servers, which allows attackers to secretly execute commands via malicious emails featuring attachments with hidden code.

Dubbed LightNeuron, the furtive backdoor has been targeting Exchange servers since at least 2014, according to a blog post from ESET, whose researchers have provisionally linked the threat to the Russian cyber espionage group Turla. ESET discovered the backdoor on three victims: an unidentified Brazilian organization, a Ministry of Foreign Affairs in Eastern Europe and a regional diplomatic organization in the Middle East.

In addition to the confirmed Windows-based version, ESET believes there may be a Linux variant in use as well, based on artifacts turned up during its investigation.

The key to LightNeuron’s persistence technique is its ability to leverage “transport agents,” which according to Microsoft are tools that let users install custom software on Exchange servers and then process email messages that pass through the transport pipeline. These Transport Agents are granted the same level of trust as spam filters and other security products, ESET explains, which makes a successful infection all the more dangerous and hard to detect.

Using XML-based rules, a LightNeuron Transport Agent can interfere with a victim’s emails in a variety of ways — blocking them; composing and sending new ones; modifying their content, subjects and recipients; replacing attachments and more.

But the attackers’ can do much more than alter emails. They can also send commands via the compromised Exchange program, enabling them to write executables, launch executables and processes, delete or exfiltrate sensitive files and essentially control local machines via its command-and-control infrastructure.

To achieve this, the attackers simply send an email with a specially crafted PDF document or JPG image to any email address belonging to the infected organization. The commands inside these attached documents are hidden using steganography techniques.

“Once an email is recognized as a command email, the command is executed and the email is blocked directly on the Exchange server. Thus, it is very stealthy and the original recipient will not be able to view it,” states the blog post, authored by ESET researcher Matthieu Faou. Faou also penned an accompanying white paper that further details the threat.

More: https://www.scmagazine.com/home/security-news/lightneuron-backdoor