Компания ESET — эксперт в области информационной безопасности — сообщает об обнаружении нового бэкдора, направленного на пользователей Microsoft Exchange. Вредоносная программа может читать, изменять или блокировать любые сообщения электронной почты, которые проходят через почтовый сервер, а также создавать новые письма и отправлять их от имени жертв. Удаленное управление бэкдором осуществляется с помощью писем электронной почты с использованием стеганографических вложений PDF и JPG.
Угроза LightNeuron осуществляет атаки на почтовые серверы Microsoft Exchange по меньшей мере с 2014 года. Целями недавних атак бэкдора стали министерство иностранных дел в одной из стран Восточной Европы и региональные дипломатические организации на Ближнем Востоке.
Исследования специалистов ESET показало, что вредоносная программа LightNeuron принадлежит к инструментарию группы кибершпионов Turla. Последняя известна своими атаками на правительственные учреждения, должностных лиц и дипломатов Европы, Центральной Азии и Ближнего Востока с 2007 года. В своей деятельности киберпреступники применяют разное вредоносное программное обеспечение, в частности руткит, несколько бэкдоров, а также инструменты для проникновения в сеть.
Стоит отметить, что угроза LightNeuron стала первой вредоносной программой, которая использует механизм Microsoft Exchange Transport Agent. «В архитектуре почтового сервера бэкдор может работать на том же уровне доверия, и продукты безопасности, такие как фильтры спама. Как следствие, это вредоносное программное обеспечение предоставляет киберпреступникам полный контроль над почтовым сервером и, таким образом, над всеми письмами», — объясняют специалисты ESET.
Для того, чтобы входящие сообщения командного сервера (C&C) не вызывали подозрения, LightNeuron скрывает собственные команды внутри документов PDF или JPG-изображений с помощью стеганографии. Тогда как возможность управлять письмами позволяет бэкдору перехватывать документы, а также получать контроль над другими локальными машинами через механизм C&C.
При этом, угрозу трудно удалить из сети, поскольку простая очистка вредоносных файлов может причинить вред почтовому серверу.
Подробный анализ бэкдора, в том числе полный перечень идентификаторов заражения, доступен по ссылке.