ESET odhalil malware, který útočníkům umožnil ovládat e-mailovou komunikaci oběti

14. 5. 2019. (redaktor: František Doupal, zdroj: Eset)
Malware LightNeuron zaměřený na Microsoft Exchange umí číst, měnit, blokovat a dokonce psát e-maily a odeslat je pod identitou legitimní osoby z postižené firmy. Útočníci ovládají malware na dálku pomocí steganografických PDF a JPG příloh. Jde o první známý malware, které využívá mechanismy Microsoft Exchange Transport Agent.

Za malwarem stojí patrně kyberzločinecká skupina Turla, která s jeho pomocí cílí na vládní a diplomatické organizace.

LigthtNeuron se zaměřuje na mailové servery Microsoft Exchange přinejmenším od roku 2014. Výzkumníci ESETu dokázali identifikovat tři různé skupiny obětí, byly mezi nimi ministerstva zahraničních věcí zemí východní Evropy a místní diplomatické organizace na Blízkém východě.

Výzkumníci shromáždili důkazy, které s vysokou mírou důvěry naznačují, že LightNeuron patří do arzenálu nechvalně známé špionážní skupiny Turla (známé také jako Snake). Skupinu a její aktivity už ESET rozsáhle popsal v předešlých výzkumech.

„V architektuře mailového serveru operuje LightNeuron na stejné úrovni důvěry jako bezpečnostní produkty, třeba spamové filtry. V důsledku tak malware dává útočníkovi úplnou kontrolu nad mailovým serverem, a tím i nad veškerou e-mailovou komunikací,“ vysvětlil Matthieu Faou, výzkumník společnosti ESET, který výzkum vedl.

Malware využívá steganografické postupy, aby příchozí e-maily, které obsahují ovládací a kontrolní příkazy, tzv. C&C, nevyvolaly podezření. Povely jsou zakódované v jinak běžných PDF dokumentech a obrázcích ve formátu JPG.

Schopnost kontrolovat e-mailovou komunikaci dělá z LightNeuron perfektní nástroj pro nenápadnou filtraci dokumentů, a ovládání dalších zařízení pomocí C&C mechanismů, které je velmi těžké odhalit a zablokovat.

„Vzhledem k vývoji úrovně bezpečnosti mají rootkity, základní kámen špionáže, často poměrně krátkou životnost. Přitom útočníci potřebují zajistit trvanlivost škodlivého kódu v systému, aby mohl získávat cenné dokumenty a to bez jakéhokoliv podezření. Turla našla řešení a tím je právě malware LightNeuron,“ dodal Faou.

Výzkumný tým ESET varuje, že odstranit LightNeuron je poměrně komplikované a pouhé odstranění škodlivých souborů nestačí, protože by to poškodilo mailový server.

Štítky: 

Podobné články

Novicom novým řešením ELISA rozšiřuje svou vizi Aktivního SOC

3. 7. 2020. (redaktor: Reseller Magazine OnLine, zdroj: Novicom)
V úterý 16. června 2020 se uskutečnilo online ohlášení nového produktu české společnosti Novicom. Ke stávajícím klíčovým produktům Novicom ADDNET a Novicom BVS přibyl třetí produkt – ELISA Security Manager, nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí. Čtěte více

Největší bezpečnostní slabinou home officu je práce ze soukromých zařízení

2. 7. 2020. (redaktor: František Doupal, zdroj: GFI Software)
Společnost GFI Software uvedla na základě dotazování mezi svými českými a slovenskými partnery, že největším rizikem práce z domu je pro firemní sítě využívání soukromých PC a dalších zařízení. Během koronavirové epidemie české a slovenské firmy nejčastěji poptávaly řešení VPN, autentizace, popř. firewallu, přičemž aktuálně je trápí zvýšené náklady na zabezpečení IT. Čtěte více

Třetina Čechů nikdy nezálohuje svá data

1. 7. 2020. (redaktor: František Doupal, zdroj: EY)
Zajímavé skutečnosti odhalil průzkum EY provedený ve spolupráci s agenturou STEM/MARK: Průměrně 15 % populace nemá problém sdílet své heslo s někým dalším a 13 % Čechů přitom používá stejné heslo pro všechny služby. Mobilní telefon odemykáme nejčastěji otiskem prstu, o něco méně PIN kódem. Na jaká další fakta průzkum poukázal? Čtěte více

Na odkaz ve phishingovém mailu kliknou až 4 % uživatelů

1. 7. 2020. (redaktor: František Doupal, zdroj: SolarWinds MSP)
Společnost SolarWinds MSP uvedla, že aktuální koronavirová krize naléhavě připomněla potřebu uceleného řešení ochrany firemní elektronické pošty. Podle společnosti dnes 94 % malwaru proniká do podniků prostřednictvím nakažených e-mailů, přičemž až 4 % uživatelů kliknou na odkaz v takovémto e-mailu. Čtěte více