Malware LightNeuron beheert de volledige emailcommunicatie van het doelbedrijf
“We zijn ervan overtuigd dat IT-beveiligingsprofessionals over deze nieuwe bedreiging moeten geïnformeerd worden,” aldus Matthieu Faou, de specialist van ESET die dit onderzoek heeft geleid.
Al sinds 2014 heeft LightNeuron de Microsoft Exchange mail servers als doelwit. De onderzoekers van ESET hebben drie verschillende groepen slachtoffers geïdentificeerd, waaronder het ministerie van buitenlandse zaken van een Oost-Europees land en een diplomatieke organisatie in het Midden Oosten.
Het onderzoekteam van ESET heeft bewijsmateriaal verzameld dat, met een hoge betrouwbaarheidsgraad, suggereert dat LightNeuron deel uitmaakt van het arsenaal van de beruchte spionagegroep Turla, ook bekend als Snake. Deze groep en zijn activiteiten worden uitgebreid gevolgd door de onderzoekers van ESET.
LightNeuron is de eerste malware gekend voor zijn misbruik van het Microsoft Exchange Transport Agent-mechanisme. “De architectuur van de mail server laat toe dat LightNeuron op hetzelfde vertrouwensniveau kan werken als beveiligingsproducten zoals spamfilters. Hierdoor krijgt de aanvaller de volledige controle over de mailserver en dus over de complete communicatie via email,” vervolgt Faou.
Zodat de inkomende emails voor command en control (C&C) er onschuldig zouden uitzien, maakt LightNeuron gebruik van steganografie om zijn opdrachten te verbergen in geldige PDF-documenten of JPG-afbeeldingen.
Dankzij de mogelijkheid om de emailcommunicatie te besturen, is LightNeuron de perfecte tool voor heimelijke exfiltratie van documenten en ook om andere lokale toestellen te controleren via een C&C mechanisme dat zeer moeilijk kan gedetecteerd en geblokkeerd worden.
“Dankzij beveiligingsverbeteringen in besturingssystemen verdwijnen kernel rootkits, de Heilige graal van spionage-malware, vaak snel uit het arsenaal van de aanvallers. Nochtans hebben de aanvallers steeds nood aan tools die in het doelsysteem kunnen leven, jagen op waardevolle documenten, deze aftappen en dit zonder enige verdenking op te wekken. LightNeuron was dus de perfecte oplossing voor Turla,” besluit Faou.
ESET-onderzoekers waarschuwen dat het verwijderen van LightNeuron uit een netwerk geen gemakkelijke taak is: de kwaadaardige bestanden gewoon wegnemen lukt niet, het zou de mailserver breken.
“We raden de beheerders aan om de volledige research paper te lezen voor ze een schoonmaakmechanisme implementeren,” aldus Faou.
De gedetailleerde analyse, met inbegrip van de complete lijst met indicatoren van besmetting en stalen, is te vinden in de research paper Turla LightNeuron: One Email Away from Remote Code Execution and on GitHub.
Over ESET Al 30 jaar ontwikkelt ESET® wereldwijd vooraanstaande software voor IT-beveiliging alsook diensten voor bedrijven en consumenten. ESET biedt een brede waaier aan van oplossingen die gaan van endpoint en mobiele beveiliging tot versleuteling en twee-factor authenticatie. ESET’s hoogpresterende en gemakkelijk te gebruiken producten laten consumenten en bedrijven toe met gemoedsrust te genieten van hun technologie. ESET beschermt en controleert onopvallend 24/7, werkt de bescherming bij in real time en maakt het mogelijk dat bedrijven en gebruikers zonder onderbreking kunnen werken. Evoluerende bedreigingen vragen om IT-beveiliging die mee evolueert. Ondersteund door wereldwijde O&O centra werd ESET het eerste IT-beveiligingsbedrijf dat 100 maal de Virus Bulletin VB100 awards kreeg voor het identificeren van elke “in-the-wild” malware en dit zonder onderbreking sinds 2003.
“We zijn ervan overtuigd dat IT-beveiligingsprofessionals over deze nieuwe bedreiging moeten geïnformeerd worden,” aldus Matthieu Faou, de specialist van ESET die dit onderzoek heeft geleid.
Al sinds 2014 heeft LightNeuron de Microsoft Exchange mail servers als doelwit. De onderzoekers van ESET hebben drie verschillende groepen slachtoffers geïdentificeerd, waaronder het ministerie van buitenlandse zaken van een Oost-Europees land en een diplomatieke organisatie in het Midden Oosten.
Het onderzoekteam van ESET heeft bewijsmateriaal verzameld dat, met een hoge betrouwbaarheidsgraad, suggereert dat LightNeuron deel uitmaakt van het arsenaal van de beruchte spionagegroep Turla, ook bekend als Snake. Deze groep en zijn activiteiten worden uitgebreid gevolgd door de onderzoekers van ESET.
LightNeuron is de eerste malware gekend voor zijn misbruik van het Microsoft Exchange Transport Agent-mechanisme. “De architectuur van de mail server laat toe dat LightNeuron op hetzelfde vertrouwensniveau kan werken als beveiligingsproducten zoals spamfilters. Hierdoor krijgt de aanvaller de volledige controle over de mailserver en dus over de complete communicatie via email,” vervolgt Faou.
Zodat de inkomende emails voor command en control (C&C) er onschuldig zouden uitzien, maakt LightNeuron gebruik van steganografie om zijn opdrachten te verbergen in geldige PDF-documenten of JPG-afbeeldingen.
Dankzij de mogelijkheid om de emailcommunicatie te besturen, is LightNeuron de perfecte tool voor heimelijke exfiltratie van documenten en ook om andere lokale toestellen te controleren via een C&C mechanisme dat zeer moeilijk kan gedetecteerd en geblokkeerd worden.
“Dankzij beveiligingsverbeteringen in besturingssystemen verdwijnen kernel rootkits, de Heilige graal van spionage-malware, vaak snel uit het arsenaal van de aanvallers. Nochtans hebben de aanvallers steeds nood aan tools die in het doelsysteem kunnen leven, jagen op waardevolle documenten, deze aftappen en dit zonder enige verdenking op te wekken. LightNeuron was dus de perfecte oplossing voor Turla,” besluit Faou.
ESET-onderzoekers waarschuwen dat het verwijderen van LightNeuron uit een netwerk geen gemakkelijke taak is: de kwaadaardige bestanden gewoon wegnemen lukt niet, het zou de mailserver breken.
“We raden de beheerders aan om de volledige research paper te lezen voor ze een schoonmaakmechanisme implementeren,” aldus Faou.
De gedetailleerde analyse, met inbegrip van de complete lijst met indicatoren van besmetting en stalen, is te vinden in de research paper Turla LightNeuron: One Email Away from Remote Code Execution and on GitHub.
Over ESET Al 30 jaar ontwikkelt ESET® wereldwijd vooraanstaande software voor IT-beveiliging alsook diensten voor bedrijven en consumenten. ESET biedt een brede waaier aan van oplossingen die gaan van endpoint en mobiele beveiliging tot versleuteling en twee-factor authenticatie. ESET’s hoogpresterende en gemakkelijk te gebruiken producten laten consumenten en bedrijven toe met gemoedsrust te genieten van hun technologie. ESET beschermt en controleert onopvallend 24/7, werkt de bescherming bij in real time en maakt het mogelijk dat bedrijven en gebruikers zonder onderbreking kunnen werken. Evoluerende bedreigingen vragen om IT-beveiliging die mee evolueert. Ondersteund door wereldwijde O&O centra werd ESET het eerste IT-beveiligingsbedrijf dat 100 maal de Virus Bulletin VB100 awards kreeg voor het identificeren van elke “in-the-wild” malware en dit zonder onderbreking sinds 2003.