• Edizione di sabato, 25 Maggio, 2019

ESET scopre LightNeuron, la prima backdoor che ha il controllo totale del server di posta Microsoft Exchange

ESET VBSpam
PIXE!
Maggio07/ 2019

I ricercatori di ESET hanno scoperto LightNeuron, una backdoor che colpisce i server di posta Microsoft Exchange che può leggere, modificare o bloccare qualsiasi email che transita sul server e addirittura scrivere nuove email ed inviarle sotto le mentite spoglie di un legittimo utente, scelto dai criminali. Il malware nasconde i suoi comandi all’interno di documenti PDF e JPG e utilizza la steganografia per presentare le email in arrivo come inoffensive.

I ricercatori di ESET hanno raccolto diverse evidenze che suggeriscono che LightNeuron appartiene con buona probabilità all’arsenale del famoso gruppo di spionaggio Turla, conosciuto anche come Snake.

LightNeuron è il primo malware identificato che riesce a manipolare il meccanismo di trasporto del server Microsoft Exchange e può operare con lo stesso livello di affidabilità dei prodotti di sicurezza come i filtri antispam. Di conseguenza, questo malware fornisce all’aggressore il controllo totale sul server di posta e quindi su tutte le comunicazioni via email. La capacità di controllare la comunicazione rende LightNeuron uno strumento perfetto per l’estrapolazione furtiva di documenti e anche per il controllo di altri server locali tramite un meccanismo C & C che è molto difficile da rilevare e bloccare.

LightNeuron ha colpito i server di posta Microsoft Exchange almeno dal 2014; i ricercatori di ESET hanno identificato con certezza tre organizzazioni cadute vittime del malware, tra cui un Ministero degli Affari Esteri di un paese dell’Est Europeo ed una organizzazione diplomatica dell’area Medio Orientale ma considerata la durata della campagna è verosimile che molte altre organizzazioni siano state colpite dal malware.

I ricercatori di ESET avvertono che eliminare LightNeuron non è facile: la semplice rimozione dei file dannosi non basta, in quanto il malware potrebbe danneggiare il server di posta elettronica e invitano i network administrator a leggere il documento di ricerca per intero prima di implementare un meccanismo di pulizia.L’analisi dettagliata, incluso l’elenco completo degli indicatori di compromissione e dei campioni, è disponibile al seguente link: https://www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-far/

PIXE!