LightNeuron heeft volledige controle over e-mailcommunicatie binnen doelwitorganisatie

Onderzoek van ESET onthult de werking van LightNeuron: een Microsoft Exchange-backdoor die zowel inkomende als uitgaande mail via de server kan lezen, aanpassen of blokkeren. Het is zelfs mogelijk nieuwe e-mails te schrijven en deze te versturen uit naam van een legitieme gebruiker naar keuze. De malware wordt op afstand bestuurd via e-mails die gebruikmaken van steganografische PDF- of JPG-bijlagen.

“Wij geloven dat IT-securityprofessionals van deze dreiging op de hoogte moeten zijn,” zegt Mattieu Faou, malware-onderzoeker van ESET die dit onderzoek heeft verricht.

LightNeuron valt Microsoft Exchange-mailservers al sinds 2014 aan. ESET-onderzoekers hebben drie verschillende organisaties die hiervan slachtoffer zijn, geïdentificeerd. Hieronder vallen een ministerie van buitenlandse zaken van een Oost-Europees land en een regionale diplomatieke organisatie in het Midden-Oosten.

ESET-onderzoekers hebben bewijs verzameld dat, met veel zekerheid, erop wijst dat LightNeuron behoort tot het arsenaal van de beruchte spionagegroep Turla, ook wel bekend als Snake. Deze groep en zijn activiteiten zijn uitgebreid het onderwerp geweest in onderzoeken door ESET.

LightNeuron is de eerste bekende malware die misbruik maakt van het Microsoft Exchange Transport Agent-mechanisme. “In de architectuur van de mailserver kan LightNeuron functioneren met hetzelfde niveau van vertrouwen als beveiligingsproducten, zoals spamfilters. Hierdoor krijgt de aanvaller via de malware complete controle over de mailserver en dus over alle e-mailcommunicatie,” legt Faou uit.

figure1-wm-1024x605-615x363

Om inkomende command and control-mails (C&C) er onschuldig uit te laten zien, gebruikt LightNeuron steganografie om commands te verstoppen in valide PDF-documenten en JPG-beelden. De mogelijkheid om e-mailcommunicatie te beheren maakt LightNeuron het perfecte middel voor stiekeme exfiltratie van documenten. Daarbij biedt LightNeuron ook de mogelijkheid om andere lokale systemen te besturen via een C&C-mechanisme dat moeilijk is te detecteren en blokkeren.

“Door verbetering van security in besturingssystemen, verdwijnen kernel rootkits, de heilige graal van spionagemalware, snel uit een aanvallers arsenaal. Echter blijft bij aanvallers de behoefte bestaan voor tools die in het doelsysteem kunnen verblijven en zo naar waardevolle documenten kunnen zoeken en wegsluizen zonder op te vallen. LightNeuron presenteerde zichzelf als Turla’s oplossing,” concludeert Faou.

ESET-onderzoeken waarschuwen dat het verwijderen van LightNeuron van een netwerk geen gemakkelijke taak is: het simpelweg verwijderen van de kwaadaardige bestanden werkt niet omdat dat de mailserver zou corrumperen.

“We moedigen beheerders aan om het onderzoeksverslag uitgebreid te lezen voor het starten van een opschoningstraject,” adviseert Faou.

De uitgebreide analyse, inclusief de volledige lijst van Indicators of Compromise en voorbeelden, vind je in het onderzoeksdocument Turla LightNeuron: One Email Away from Remote Code Execution en op GitHub.