8.5.19

Malware LightNeuron beheert de volledige emailcommunicatie van het doelbedrijf


De vorsers  van ESET hebben de malware LightNeuron ontdekt, een achterdeur in Microsoft Exchange die elke email die via de mailserver komt kan lezen, wijzigen of blokkeren. Het kan zelfs nieuwe mails creëren en verzenden uit naam van een gebruiker. Deze malware wordt op afstand bestuurd door emails die gebruik maken van steganografische (onderdeel van cryptografie) PDF- en JPG-bijlagen.
“We zijn ervan overtuigd dat IT-beveiligingsprofessionals over deze nieuwe bedreiging moeten geïnformeerd worden,” aldus Matthieu Faou, de specialist van ESET  die dit onderzoek heeft geleid.                 
Al sinds 2014 heeft LightNeuron de Microsoft Exchange mail servers als doelwit. De onderzoekers van ESET hebben drie verschillende groepen slachtoffers geïdentificeerd, waaronder het ministerie van buitenlandse zaken van een Oost-Europees land en een diplomatieke organisatie in het Midden Oosten.  
Het onderzoekteam van ESET heeft bewijsmateriaal verzameld dat, met een hoge betrouwbaarheidsgraad, suggereert dat LightNeuron deel uitmaakt van het arsenaal van de beruchte spionagegroep Turla, ook bekend als Snake. Deze groep en zijn activiteiten worden uitgebreid gevolgd door de onderzoekers van ESET.
LightNeuron is de eerste malware gekend voor zijn misbruik van het Microsoft Exchange Transport Agent-mechanisme. “De architectuur van de mail server laat toe dat LightNeuron op hetzelfde vertrouwensniveau kan werken als beveiligingsproducten zoals spamfilters. Hierdoor krijgt de aanvaller de volledige controle over de mailserver en dus over de complete communicatie via email,” vervolgt  Faou.
Zodat de inkomende emails voor command en control (C&C) er onschuldig zouden uitzien, maakt LightNeuron gebruik van steganografie om zijn opdrachten te verbergen in geldige PDF-documenten of JPG-afbeeldingen.
Dankzij de mogelijkheid om de emailcommunicatie te besturen, is LightNeuron de perfecte tool voor  heimelijke exfiltratie van documenten en ook om andere lokale toestellen te controleren via een C&C mechanisme dat zeer moeilijk kan gedetecteerd en geblokkeerd worden.
“Dankzij beveiligingsverbeteringen in besturingssystemen verdwijnen kernel rootkits, de Heilige graal van spionage-malware, vaak snel uit het arsenaal van de aanvallers. Nochtans hebben de aanvallers steeds nood aan tools die in het doelsysteem kunnen leven, jagen op waardevolle documenten, deze aftappen en dit zonder enige verdenking op te wekken. LightNeuron was dus de perfecte oplossing voor Turla,” besluit Faou.
ESET-onderzoekers waarschuwen dat het verwijderen van LightNeuron uit een netwerk geen gemakkelijke taak is: de kwaadaardige bestanden gewoon wegnemen lukt niet, het zou de mailserver breken.
“We raden de beheerders aan om de volledige research paper te lezen voor ze een schoonmaakmechanisme implementeren,” aldus Faou.
De gedetailleerde analyse, met inbegrip van de complete lijst met indicatoren van besmetting en stalen, is te vinden in de research paper Turla LightNeuron: One Email Away from Remote Code Execution and on GitHub.