Компанія ESET — експерт у галузі інформаційної безпеки — повідомляє про виявлення нового бекдору, спрямованого на користувачів Microsoft Exchange. Шкідлива програма може читати, змінювати або блокувати будь-які повідомлення електронної пошти, які проходять через поштовий сервер, і навіть створювати нові листи та надсилати їх від імені жертв. Віддалене управління бекдором здійснюється за допомогою листів електронної пошти з використанням стеганографічних вкладень PDF та JPG.
Загроза LightNeuron здійснює атаки на поштові сервери Microsoft Exchange щонайменше з 2014 року. Цілями нещодавніх атак бекдору стали міністерство закордонних справ у одній з країн Східної Європи та регіональні дипломатичні організації на Близькому Сході.
Дослідження спеціалістів ESET показало, що шкідлива програма LightNeuron належить до інструментарію групи кібершпигунів Turla. Остання відома своїми атаками на урядові установи, посадових осіб і дипломатів Європи, Центральній Азії та Близького Сходу з 2007 року. У власній діяльності кіберзлочинці застосовують різноманітне шкідливе програмне забезпечення, зокрема руткіт, кілька бекдорів, а також інструменти для проникнення в мережу.
Варто зазначити, що загроза LightNeuron стала першою шкідливою програмою, яка використовує механізм Microsoft Exchange Transport Agent. «У архітектурі поштового сервера бекдор може працювати на тому ж рівні довіри, що і продукти безпеки, такі як фільтри спаму. Як наслідок, це шкідливе програмне забезпечення надає кіберзлочинцям повний контроль над поштовим сервером і, таким чином, над усіма листами», — пояснюють спеціалісти ESET.
Для того, щоб вхідні повідомлення командного сервера (C&C) не викликали підозри, LightNeuron приховує власні команди всередині документів PDF або JPG-зображень за допомогою стеганографії. Тоді як можливість управляти листами дозволяє бекдору перехоплювати документи, а також отримувати контроль над іншими локальними машинами через механізм C&C.
При цьому, загрозу важко видалити з мережі, оскільки просте очищення шкідливих файлів може спричинити шкоду поштовому серверу.
Детальний аналіз бекдору, зокрема і перелік ідентифікаторів інфікування, доступний за посиланням.