sabato 18 maggio 2019

ESET, scoperta backdoor in server di posta Microsoft: è LightNeuron


Attivo dal 2014, LightNeuron è in grado di leggere, modificare o bloccare qualsiasi email che transita sul server. E grazie alle sue particolari caratteristiche tecniche riesce a passare inosservato ai controlli di sicurezza. I ricercatori di ESET hanno scoperto LightNeuron, una backdoor che colpisce i server di posta Microsoft Exchange che può leggere, modificare o bloccare qualsiasi email che transita sul server e addirittura scrivere nuove email ed inviarle sotto le mentite spoglie di un legittimo utente, scelto dai criminali. Il malware nasconde i suoi comandi all’interno di documenti PDF e JPG e utilizza la steganografia per presentare le email in arrivo come inoffensive.

I ricercatori di ESET, spiega una nota, hanno raccolto diverse evidenze che suggeriscono che LightNeuron appartiene con buona probabilità all’arsenale del famoso gruppo di spionaggio Turla, conosciuto anche come Snake. LightNeuron è il primo malware identificato che riesce a manipolare il meccanismo di trasporto del server Microsoft Exchange e può operare con lo stesso livello di affidabilità dei prodotti di sicurezza come i filtri antispam. Di conseguenza, questo malware fornisce all'aggressore il controllo totale sul server di posta e quindi su tutte le comunicazioni via email. Tula è anche responsabile di alcune delle violazioni di alto profilo tra cui il Comando Centrale degli Stati Uniti nel 2008, la compagnia militare svizzera RUAG nel 2014 e, più recentemente, le Forze armate francesi nel 2018.

La capacità di controllare la comunicazione rende LightNeuron uno strumento perfetto per l’estrapolazione furtiva di documenti e anche per il controllo di altri server locali tramite un meccanismo C & C che è molto difficile da rilevare e bloccare. La fase iniziale dell’infezione da malware LighNeuron (probabilmente progettato dal gruppo TURT APT) sui server di posta Microsoft Exchange inizia facendo leva su un agente di trasporto messaggi (MTA) di Microsoft Exchange. Come si legge su GBHackers, Microsoft Exchange consente di estendere le sue funzionalità utilizzando gli agenti di trasporto in grado di elaborare e modificare tutti i messaggi di posta elettronica che passano attraverso il server di posta. Gli agenti di trasporto possono essere stati creati da Microsoft, da fornitori di terze parti o direttamente all’interno di un’organizzazione.


LighNeuron utilizza due componenti principali, un agente di trasporto registrato nella configurazione di Microsoft Exchange e una libreria DLL denominata Microsoft.Exchange.Security.Interop.dll a 64 bit contenente la maggior parte del codice dannoso. I ricercatori ritengono che questa è la prima volta che gli hacker abusano dell’agente di trasporto per scopi dannosi. In questo caso, l’agente di trasporto maligno è responsabile nello stabilire la comunicazione tra Microsoft Exchange e la DLL dannosa principale. Una volta che il server Microsoft Exchange è stato compromesso con successo, riceve e-mail contenenti i comandi per la backdoor. Gli hacker rilasciano comandi alla backdoor tramite e-mail e utilizzano la steganografia per archiviare i dati negli allegati PDF e JPG in modo da garantire che il comando sia nascosto.

Inoltre, nelle campagne che ESET ha studiato, LightNeuron era in esecuzione con privilegi di sistema. In altre parole, una violazione della sicurezza fondamentale era già avvenuta. Un portavoce di Microsoft ha spiegato a Petri che “un utente malintenzionato dovrebbe avere accesso amministrativo su un server Exchange come membro del gruppo di amministratori di Exchange in Active Directory di un’organizzazione. Gli account dell'amministratore di Exchange sono strettamente controllati e non è possibile ottenere l'adesione persuadendo una vittima a fare clic su un avviso di sicurezza o una richiesta di elevazione”. Dato che gli aggressori devono ottenere l’accesso privilegiato a un server prima di poter installare i file necessari, l’unica soluzione per mitigare l’attacco è quella di assicurarsi che l’accesso privilegiato sia sicuro. 

LightNeuron ha colpito i server di posta Microsoft Exchange almeno dal 2014; i ricercatori di ESET hanno identificato con certezza tre organizzazioni cadute vittime del malware, tra cui un Ministero degli Affari Esteri di un paese dell’Est Europeo ed una organizzazione diplomatica dell’area Medio Orientale ma considerata la durata della campagna è verosimile che molte altre organizzazioni siano state colpite dal malware. I ricercatori di ESET avvertono che eliminare LightNeuron non è facile: la semplice rimozione dei file dannosi non basta, in quanto il malware potrebbe danneggiare il server di posta elettronica e invitano i network administrator a leggere il documento di ricerca per intero prima di implementare un meccanismo di pulizia. Per maggiori informazioni su ESET e il suo portfolio di prodotti, visitare www.eset.com/it




Via: Ketchum Italia

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...