Бэкдор LightNeuron для взлома серверов Microsoft Exchange
Экспертами антивирусных программ ESET обнаружен вирус, который был тщательно скрыт злоумышленниками в группе Turla на протяжении более 5 лет. Его название – бэкдор LightNeuron, с помощью него можно получить несанкционированный доступ к почтовым серверам Microsoft Exchange, а иногда и данным компьютера в целом. Главное предназначение – пересылка сообщений пользователей, причем функционирование хакерского сервера отличается от подобных инструментов.
Изначально о бэкдоре LightNeuron упоминали специалисты «Лаборатории Касперского» в первом полугодии 2018 года. В своих отчетах эксперты лишь вкратце описывали бэкдор. Сотрудники ESET представили подробное описание малвари.
По данным исследователей бэкдор LightNeuron применяется специально для взлома почтовых серверов Microsoft Exchange. Подобная малварь DarkNeuron была разработана специалистами группы Turla намного раньше, однако не применялась в Microsoft Exchange.
При использовании бэкдора LightNeuron хакеры могут не только отслеживать почтовый сервер, но и влиять на общую работу системы. Злоумышленники перенаправляют входящие и исходящие сообщения, редактируют содержание писем, отправляют новые сообщения или блокируют определенных адресатов. Эти возможности делают бэкдор одним из самых мощных инструментов, существующих в группе.
Значительно отличается LightNeuron и своим функциональным C&C-механизмом. Алгоритм работы бэкдора устроен так, что вредоносный инструмент позволяет хакерам избегать зараженных серверов Microsoft Exchange. Злоумышленники помещают файлы PDF и JPG в письма пользователя, поэтому при открытии сообщения малварь может выполнять все команды хакеров. Обнаружить малварь LightNeuron сложнее, поскольку команды для бэкдора скрыты в сообщениях-спамах, на которые, как правило, никто не обращает внимания.
Специалисты ESET также отмечают, что бэкдор LightNeuron активно применяется злоумышленниками и по сегодняшний день. В процессе работы программистам удалось определить несколько пострадавших от хакерских атак организаций. Их названия не разглашаются, однако известно, что одна из них – Министерство иностранных дел одной из стран Европы, вторая организация находится в Бразилии, третья – региональная дипломатическая организация одного из государств на Ближнем Востоке.