Wykryto kolejny malware atakujący serwery pocztowe Microsoft Exchange

W Internecie zidentyfikowano kolejnego groźnego wirusa, który został zaprojektowany przez hakerów z grupy Turla. O grupie tej było głośno w przeszłości z powodu przeprowadzenia przez nią szeregu ataków na placówki dyplomatyczne oraz konsulaty.

Zagrożenie nosi nazwę LightNeuron i zostało wykryte przez informatyków z firmy Eset. Wirus atakuje serwery pocztowe Microsoft Exchange i jest w stanie przejąć nad nimi pełną kontrolę. Może też podszywać się pod wybranego użytkownika i w jego imieniu rozsyłać po Internecie spreparowane wiadomości e-mail.

Jak dowiedli eksperci z ESET, zagrożenie zidentyfikowane jako LightNeuron wykorzystywane jest w atakach przeciwko serwerom Microsoft Exchange przynajmniej od pięciu lat. Na celowniku hakerów znajdują się przede wszystkim instytucje rządowe. Lista zidentyfikowanych do tej pory ofiar obejmuje m.in. ministerstwo spraw zagranicznych jednego z państw Europy Wschodniej oraz regionalną bliskowschodnią organizację dyplomatyczną, co wpisuje się w profil dotychczasowej działalności grupy Turla.

Zobacz również:

  • Cisco finalizuje przejęcie Splunk
  • Co trzecia firma w Polsce z cyberincydentem
  • Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Kontrola nad złośliwym oprogramowaniem odbywa się z pomocą komend zaszyfrowanych steganograficznie (czyli tak, aby właściwa informacja była ukryta) wewnątrz plików graficznych JPG i dokumentów PDF. Dzięki temu wysyłane przez hakerów maile z poleceniami nie budzą żadnych podejrzeń.

Według specjalistów LightNeuron stanowi w rękach przestępców wyjątkowo niebezpieczne narzędzie, gdyż zanim atak zostanie wykryty, może minąć nawet kilka lat. W tym czasie hakerzy mają dostęp do całej komunikacji wewnątrz danej organizacji i mogą dyskretnie gromadzić informacje.

Zagrożenie jest tym groźniejsze, że jako pierwsze wykorzystuje mechanizm Microsoft Exchange Transport Agent. Dzięki temu LightNeuron jest traktowany podobnie jak rozwiązania zabezpieczające przed spamem. Daje to zagrożeniu niemal nieograniczony dostęp do serwera.

Źródło: Dagma

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200