Эксперты рассказали как работает бэкдор LightNeuron

08 мая 2019 г., среда

Троян атакует почтовые серверы под управлением Exchange и получает команды в PDF- и JPG-вложениях.

Бэкдор LightNeuron, за которым стоит криминальная группировка Turla, берет под контроль почтовые серверы Microsoft Exchange. Об этом рассказали ИБ-специалисты, которые изучили работу зловреда в скомпрометированных системах. По мнению экспертов, программа действует на одном уровне со сканерами безопасности и спам-фильтрами, что затрудняет ее обнаружение.

Впервые об Exchange-бэкдоре в июле прошлого года сообщили специалисты Global Research and Analysis Team (GReAT) «Лаборатории Касперского». Новое исследование базируется на данных, полученных в трех организациях: неназванной бразильской компании, МИД одной из стран Восточной Европы и ближневосточном дипломатическом учреждении. Анализ зловреда показал, что злоумышленники используют административные привилегии, чтобы доставить и выполнить на машине вредоносный скрипт. Сценарий регистрирует вредоносную библиотеку в качестве транспортного агента Exchange, что позволяет ей оперировать на уровне легитимных служб и закрепиться в системе.

В результате злоумышленники получают возможность:

  • Перехватывать входящую и исходящую корреспонденцию.
  • Создавать и отправлять электронные письма.
  • Фильтровать почту на уровне отдельных пользователей.

Программа становится полноценной службой Exchange и удаление ее компонентов из системы приводит к неработоспособности почтового сервера. Как выяснили ИБ-специалисты, LightNeuron использует необычную систему управления — киберпреступники не подключаются к зловреду напрямую, а отправляют команды через вложения входящих писем. К посланию прикрепляется PDF- или JPG-файл, в котором при помощи стеганографии зашифрованы управляющие операторы.

Злоумышленники размещают в заголовке PDF-документа инструкции с адресами команд, которые могут находиться в любой части файла. В случае с изображением в формате JPG для этой цели использовались первые 16 бит таблицы квантования. В обоих случаях вложения можно было просмотреть. Как отмечают исследователи, атакующие маскировали свою активность под потоком пустых вложений — более чем из 7000 отправленных ими фотографий лишь 178 содержали операторы LightNeuron.

Стоящая за зловредом APT-группировка Turla с 2014 года атакует государственные учреждения и частные компании по всему миру. На прошлогодней конференции Virus Bulletin аналитики «Лаборатории Касперского» рассказали, что злоумышленники развивают и другие вредоносные инструменты — фреймворк Carbon, тулкит Mosquito, бэкдоры IcedCoffee и KopiLuwak.

Threatpost