سرورهای Microsoft Exchange مورد هدف در پشتی LightNeuron قرار گرفتهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران ESET اخیرا یک درپشتی پیشرفته را بررسی کردهاند که توسط گروه جاسوسی سایبری Turlaشناخته شده و با نام Snake توسعه یافتهاست. این در پشتی که LightNeuron نام دارد از سال ۲۰۱۴ در حال هدف قرار دادن سرورهای ایمیل Microsoft Exchange است.
این اولین بدافزاری است که بهطور ویژه سرورهای ایمیل Microsoft Exchange را هدف قرار میدهد. گروه Turla پیشتر نیز سرورهای ایمیل را با استفاده از بدافزاری با نام Neuron (یا DarkNeuron) هدف قرار میداد، اما این بدافزار مختص Microsoft Exchange نبودهاست.
بهدلیل پیچیدگی LightNeuron، هکرها میتوانند کنترل کامل یک سرور ایمیل را بهدست گیرند. آنها میتوانند محتوای ایمیلهای ورودی یا خروجی را منتقل، ویرایش یا مسدود کنند. این در پشتی که توسط گروه مخرب Turla توسعه یافتهاست از سال ۲۰۱۴ در حال فعالیت است.
علاوهبر تمرکز در پشتی LightNeuron بر روی سرورهای Microsoft Exchange از دیگر ویژگیهای بارز این بدافزار مکانیزم فرمان و کنترل آن است. زمانی که هکرها یک سرور Microsoft Exchange را از طریق درپشتی LightNeuron آلوده کنند، بهطور مستقیم به آن متصل نمیشوند، بلکه با ارسال ایمیلهای حاوی پیوستهای PDF یا JPG، سرور را کنترل میکنند. این روش که پنهاننگاری (Steganography) نام دارد، بدین صورت عمل میکند که دستورهای مهاجمان درون فایلهای PDF و تصاویر JPG قرار میگیرند و در پشتی با دریافت آنها، دستورها را اجرا میکند. بهدلیل این شیوه ارتباط با سرور فرمان و کنترل، این بدافزار برای مدت زیادی پنهان ماندهبود.
بدافزار LightNeuron پس از آلوده کردن سرور میتواند تمامی ایمیلهای ورودی و خروجی از سرور Exchange را مشاهده و ویرایش کند. همچنین میتواند ایمیل جدید ارسال کند و از دریافت برخی ایمیلها توسط یک کاربر جلوگیری کند.
نشانههای آلودگی (IoC):
هشها:
• ۳C۸۵۱E۲۳۹FBF۶۷A۰۳E۰DAE۸F۶۳EEE۷۰۲B۳۳۰DB۶C
• ۷۶EE۱۸۰۲A۶C۹۲۰CBEB۳A۱۰۵۳A۴EC۰۳C۷۱B۷E۴۶F۸
• FF۲۸B۵۳B۵۵BC۷۷A۵B۴۶۲۶F۹DB۸۵۶E۶۷AC۵۹۸C۷۸۷
• C۱FF۶۸۰۴FDB۸۶۵۶AB۰۸۹۲۸D۱۸۷۸۳۷D۲۸۰۶۰A۵۵۲F
• F۹D۵۲BB۵A۳۰B۴۲FC۲D۱۷۶۳BE۵۸۶CEE۸A۵۷۴۲۴۷۳۲
• ۰A۹F۱۰۹۲۵AF۴۲DF۹۴۹۲۵D۰۷۱۱۲F۳۰۳D۵۷۳۹۲C۹۰۸
• A۴D۱A۳۴FE۵EFFD۹۰CCB۶۸۹۷۶۷۹۵۸۶DDC۰۷FBC۵CD