Новая угроза атакует пользователей электронной почты

Компания ESET — эксперт в области информационной безопасности — сообщает об обнаружении нового бэкдора, направленного на пользователей Microsoft Exchange. Вредоносная программа может читать, изменять или блокировать любые сообщения электронной почты, которые проходят через почтовый сервер, а также создавать новые письма и отправлять их от имени жертв. Удаленное управление бэкдором осуществляется с помощью писем электронной почты с использованием стеганографических вложений PDF и JPG.
Угроза LightNeuron осуществляет атаки на почтовые серверы Microsoft Exchange по меньшей мере с 2014 года. Целями недавних атак бэкдора стали министерство иностранных дел в одной из стран Восточной Европы и региональные дипломатические организации на Ближнем Востоке.

Исследования специалистов ESET показало, что вредоносная программа LightNeuron принадлежит к инструментарию группы кибершпионов Turla. Последняя известна своими атаками на правительственные учреждения, должностных лиц и дипломатов Европы, Центральной Азии и Ближнего Востока с 2007 года. В своей деятельности киберпреступники применяют разное вредоносное программное обеспечение, в частности руткит, несколько бэкдоров, а также инструменты для проникновения в сеть.

Стоит отметить, что угроза LightNeuron стала первой вредоносной программой, которая использует механизм Microsoft Exchange Transport Agent. 

«В архитектуре почтового сервера бэкдор может работать на том же уровне доверия, что и продукты безопасности, такие как фильтры спама. Как следствие, это вредоносное программное обеспечение предоставляет киберпреступникам полный контроль над почтовым сервером и, таким образом, над всеми письмами», — объясняют специалисты ESET.

Для того, чтобы входящие сообщения командного сервера (C&C) не вызывали подозрения, LightNeuron скрывает собственные команды внутри документов PDF или JPG-изображений с помощью стеганографии. Тогда как возможность управлять письмами позволяет бэкдору перехватывать документы, а также получать контроль над другими локальными машинами через механизм C&C.

При этом, угрозу трудно удалить из сети, поскольку простая очистка вредоносных файлов может причинить вред почтовому серверу.

Подробный анализ бэкдора, в том числе полный перечень идентификаторов заражения, доступен по ссылке.

Источник ESET

По вопросам приобретения решений ESET обращайтесь к нашим специалистам +380 (44) 383 4410 или sales@softico.ua

Похожие новости