Эксперты рассказали как работает бэкдор LightNeuron

Эксперты рассказали как работает бэкдор LightNeuron

Бэкдор LightNeuron, за которым стоит криминальная группировка Turla, берет под контроль почтовые серверы Microsoft Exchange. Об этом рассказали ИБ-специалисты, которые изучили работу зловреда в скомпрометированных системах. По мнению экспертов, программа действует на одном уровне со сканерами безопасности и спам-фильтрами, что затрудняет ее обнаружение.

Впервые об Exchange-бэкдоре в июле прошлого года сообщили специалисты Global Research and Analysis Team (GReAT) «Лаборатории Касперского». Новое исследование базируется на данных, полученных в трех организациях: неназванной бразильской компании, МИД одной из стран Восточной Европы и ближневосточном дипломатическом учреждении. Анализ зловреда показал, что злоумышленники используют административные привилегии, чтобы доставить и выполнить на машине вредоносный скрипт. Сценарий регистрирует вредоносную библиотеку в качестве транспортного агента Exchange, что позволяет ей оперировать на уровне легитимных служб и закрепиться в системе.

В результате злоумышленники получают возможность:

  • Перехватывать входящую и исходящую корреспонденцию.
  • Создавать и отправлять электронные письма.
  • Фильтровать почту на уровне отдельных пользователей.

Программа становится полноценной службой Exchange и удаление ее компонентов из системы приводит к неработоспособности почтового сервера. Как выяснили ИБ-специалисты, LightNeuron использует необычную систему управления — киберпреступники не подключаются к зловреду напрямую, а отправляют команды через вложения входящих писем. К посланию прикрепляется PDF- или JPG-файл, в котором при помощи стеганографии зашифрованы управляющие операторы.

Злоумышленники размещают в заголовке PDF-документа инструкции с адресами команд, которые могут находиться в любой части файла. В случае с изображением в формате JPG для этой цели использовались первые 16 бит таблицы квантования. В обоих случаях вложения можно было просмотреть. Как отмечают исследователи, атакующие маскировали свою активность под потоком пустых вложений — более чем из 7000 отправленных ими фотографий лишь 178 содержали операторы LightNeuron.

Стоящая за зловредом APT-группировка Turla с 2014 года атакует государственные учреждения и частные компании по всему миру. На прошлогодней конференции Virus Bulletin аналитики «Лаборатории Касперского» рассказали, что злоумышленники развивают и другие вредоносные инструменты — фреймворк Carbon, тулкит Mosquito, бэкдоры IcedCoffee и KopiLuwak.

Источник: //threatpost.ru/experts-explained-how-nightneuron-backdoor-works/32566/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *