LightNeuron beheert de volledige emailcommunicatie van het doelbedrijf

Next story
ESET

7 Mai 2019 – Het onderzoekteam van ESET heeft de malware LightNeuron ontdekt, een achterdeur in Microsoft Exchange die elke email die via de mailserver komt kan lezen, wijzigen of blokkeren. Het kan zelfs nieuwe mails creëren en verzenden uit naam van een gebruiker. Deze malware wordt op afstand bestuurd door emails die gebruik maken van steganografische (onderdeel van cryptografie) PDF- en JPG-bijlagen.

We zijn ervan overtuigd dat IT-beveiligingsprofessionals over deze nieuwe bedreiging moeten geïnformeerd worden,” aldus Matthieu Faou, de onderzoeker van ESET  die dit onderzoek heeft geleid.                 
Al sinds 2014 heeft LightNeuron de Microsoft Exchange mail servers als doelwit. De onderzoekers van ESET hebben drie verschillende groepen slachtoffers geïdentificeerd, waaronder het ministerie van buitenlandse zaken van een Oost-Europees land en een diplomatieke organisatie in het Midden Oosten.  
Het onderzoekteam van ESET heeft bewijsmateriaal verzameld dat, met een hoge betrouwbaarheidsgraad, suggereert dat LightNeuron deel uitmaakt van het arsenaal van de beruchte spionagegroep Turla, ook bekend als Snake. Deze groep en zijn activiteiten worden uitgebreid gevolgd door de onderzoekers van ESET.
LightNeuron is de eerste malware gekend voor zijn misbruik van het Microsoft Exchange Transport Agent-mechanisme. “De architectuur van de mail server laat toe dat LightNeuron op hetzelfde vertrouwensniveau kan werken als beveiligingsproducten zoals spamfilters. Hierdoor krijgt de aanvaller de volledige controle over de mailserver en dus over de complete communicatie via email,” vervolgt  Faou.
Zodat de inkomende emails voor command en control (C&C) er onschuldig zouden uitzien, maakt LightNeuron gebruik van steganografie om zijn opdrachten te verbergen in geldige PDF-documenten of JPG-afbeeldingen.

Dankzij de mogelijkheid om de e-mailcommunicatie te besturen, is LightNeuron de perfecte tool voor  heimelijke exfiltratie van documenten en ook om andere lokale toestellen te controleren via een C&C mechanisme dat zeer moeilijk kan gedetecteerd en geblokkeerd worden.
Dankzij beveiligingsverbeteringen in besturingssystemen, verdwijnen kernel rootkits, de Heilige graal van spionage-malware, vaak snel uit het arsenaal van de aanvallers. Nochtans hebben de aanvallers steeds nood aan tools die in het doelsysteem kunnen leven, jagen op waardevolle documenten, deze aftappen en dit zonder enige verdenking op te wekken. LightNeuron was dus de perfecte oplossing voor Turla,” besluit Faou.
ESET-onderzoekers waarschuwen dat het verwijderen van LightNeuron uit een netwerk geen gemakkelijke taak is: de kwaadaardige bestanden gewoon wegnemen lukt niet, het zou de mailserver breken.
We raden de beheerders aan om de volledige research paper te lezen voor ze een schoonmaakmechanisme implementeren,” aldus Faou.
De gedetailleerde analyse, met inbegrip van de complete lijst met indicatoren van besmetting en stalen, is te vinden in de research paper Turla LightNeuron: One Email Away from Remote Code Execution and on GitHub.

Over ESET

Al 30 jaar ontwikkelt ESET®wereldwijd vooraanstaande software voor IT-beveiliging alsook diensten voor bedrijven en consumenten. ESET biedt een brede waaier aan van oplossingen die gaan van endpoint en mobiele beveiliging tot versleuteling en twee-factor authenticatie. ESET’s hoogpresterende en gemakkelijk te gebruiken producten laten consumenten en bedrijven toe met gemoedsrust te genieten van hun technologie.

ESET beschermt en controleert onopvallend 24/7, werkt de bescherming bij in real time en maakt het mogelijk dat bedrijven en gebruikers zonder onderbreking kunnen werken. Evoluerende bedreigingen vragen om IT-beveiliging die mee evolueert. Ondersteund door wereldwijde O&O centra werd ESET het eerste IT-beveiligingsbedrijf dat 100 maal de Virus Bulletin VB100awards kreeg voor het identificeren van elke “in-the-wild” malware en dit zonder onderbreking sinds 2003.

Bezoek voor meer info www.eset.com of volg ons op LinkedInFacebook en Twitter.

Persinformatie

Voor meer informatie of voor het testen met ESET kan u contact opnemen met:

MGK Technologies

+352  26 18 51

www.eset.be

Key Communications
Catherine d’Adesky / Louise Biron
+32 (0)475 48 62 68
+32 (0)2 230 40 72
catherine@keycommunications.be

louise@keycommunications.be
www.keycommunications.be

Wil  je geen berichten van ESET ontvangen,  laat het dan weten aan louise@keycommunications.be

louise@keycommunications.be