Wouter Hoeffnagel - 07 mei 2019

Volledige controle over e-mail over te nemen via nieuwe Microsoft Exchange-backdoor

Een nieuw ontdekte Microsoft Exchange-backdoor kan zowel inkomende als uitgaande mail via de mailserver lezen, aanpassen of blokkeren. Via de backdoor is het zelfs mogelijk nieuwe e-mails te schrijven en deze te versturen uit naam van een legitieme gebruiker naar keuze. De malware wordt op afstand bestuurd via e-mails die gebruikmaken van steganografische PDF- of JPG-bijlagen.

Hiervoor waarschuwt beveiligingsbedrijf ESET. LightNeuron valt Microsoft Exchange-mailservers al sinds 2014 aan. ESET-onderzoekers hebben drie verschillende organisaties die hiervan slachtoffer zijn geïdentificeerd. Hieronder vallen een ministerie van buitenlandse zaken van een Oost-Europees land en een regionale diplomatieke organisatie in het Midden-Oosten.

Spionage

ESET-onderzoekers hebben bewijs verzameld dat, met veel zekerheid, erop wijst dat LightNeuron behoort tot het arsenaal van de beruchte spionagegroep Turla, ook wel bekend als Snake. Deze groep en zijn activiteiten zijn uitgebreid het onderwerp geweest in onderzoeken door ESET.

LightNeuron is de eerste bekende malware die misbruik maakt van het Microsoft Exchange Transport Agent-mechanisme. “In de architectuur van de mailserver kan LightNeuron functioneren met hetzelfde niveau van vertrouwen als beveiligingsproducten, zoals spamfilters. Hierdoor krijgt de aanvaller via de malware complete controle over de mailserver en dus over alle e-mailcommunicatie,” legt Mattieu Faou, een malware-onderzoeker van ESET die het onderzoek heeft verricht.

Steganografie

Om inkomende command and control-mails (C&C) er onschuldig uit te laten zien, gebruikt LightNeuron steganografie om commands te verstoppen in valide PDF-documenten en JPG-beelden. De mogelijkheid om e-mailcommunicatie te beheren maakt LightNeuron het perfecte middel voor stiekeme exfiltratie van documenten. Daarbij biedt LightNeuron ook de mogelijkheid om andere lokale systemen te besturen via een C&C-mechanisme dat moeilijk is te detecteren en blokkeren.

"Door verbetering van security in besturingssystemen, verdwijnen kernel rootkits, de heilige graal van spionagemalware, snel uit een aanvallers arsenaal. Echter blijft bij aanvallers de behoefte bestaan voor tools die in het doelsysteem kunnen verblijven en zo naar waardevolle documenten kunnen zoeken en wegsluizen zonder op te vallen. LightNeuron presenteerde zichzelf als Turla’s oplossing", concludeert Faou.

Moeilijk te verwijderen

ESET-onderzoeken waarschuwen dat het verwijderen van LightNeuron van een netwerk geen gemakkelijke taak is: het simpelweg verwijderen van de kwaadaardige bestanden werkt niet omdat dat de mailserver zou corrumperen. "We moedigen beheerders aan om het onderzoeksverslag uitgebreid te lezen voor het starten van een opschoningstraject", zegt Faou.

Een uitgebreide analyse, inclusief de volledige lijst van Indicators of Compromise en voorbeelden, vind je in het onderzoeksdocument Turla LightNeuron: One Email Away from Remote Code Execution.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!