LightNeuron
Os pesquisadores de segurança do PC receberam relatos de um Trojan backdoor ameaçador conhecido como LightNeuron. O Trojan LightNeuron é usado como a etapa inicial em um ataque de malware que contém vários estágios e é usado para obter persistência nos servidores de email do Microsoft Exchange. Persistência significa que os invasores podem manter o seu malware ativo no dispositivo visado, mesmo se o dispositivo afetado for essencialmente reinicializado. O LightNeuron é especialmente sofisticado, pois permite que os invasores executem comandos nocivos no dispositivo visado usando anexos de e-mail corrompidos que ocultam o código ameaçador. O LightNeuron não é uma nova ameaça e está ativo desde 2014.
Índice
O LightNeuron pode Assumir o Controle de Servidores de E-Mail
Os pesquisadores de segurança suspeitam que o LightNeuron foi desenvolvido por um grupo criminoso conhecido como Snake ou Turla, que está ligado a operações de espionagem contra alvos de alto perfil. Os ataques do LightNeuron foram reportados contra alvos no Brasil, Europa Oriental e vários locais no Oriente Médio. O ataque do LightNeuron parece ser altamente confiável e pode ser usado por invasores para interceptar qualquer e-mail no servidor de e-mail comprometido, compor e enviar e-mails representando outras pessoas e executar várias outras tarefas ameaçadoras como resultado do controle sobre o servidor de e-mail alvo. Um problema adicional ao lidar com o LightNeuron é que removê-lo incorretamente pode desabilitar um servidor de e-mail e causar perdas significativas.
Os ataques do LightNeuron podem ter como alvo os servidores Windows e Linux. Pelo menos três vítimas de ataques LightNeuron foram identificadas positivamente, o que inclui um ministério do governo e uma organização diplomática, ambos os quais correspondem aos alvos relacionados à espionagem escolhidos por Turla para esses ataques. Os pesquisadores de malware não obtiveram cópias do malware LightNeuron para estudá-lo em detalhes, mas puderam estudar essa ameaça por meio de restos de dispositivos comprometidos e outros ataques atribuídos a esses invasores. Existem várias evidências indicando que os invasores que operam o LightNeuron estão localizados na Europa Oriental, provavelmente na Rússia, e este grupo pode ser patrocinado pelo Estado.
Como os Ataques do LightNeuron são Realizadomento
Parece que o LightNeuron é a primeira ameaça de malware direcionada especificamente aos servidores de e-mail do Microsoft Exchange e usa um agente de transporte para obter persistência, uma técnica nunca vista antes. Isso permite que o LightNeuron seja reconhecido no mesmo nível do software de segurança, que pode incluir software anti-malware e filtros anti-spam no dispositivo infectado. Existem três operações principais que os criminosos podem realizar usando o LightNeuron:
- O LightNeuron pode ser usado para ler e até mesmo modificar qualquer mensagem de e-mail que passe pelo servidor de e-mail infectado.
- O LightNeuron pode ser usado para compor e enviar novos e-mails do servidor de e-mail comprometido.
- O LightNeuron pode ser usado para bloquear qualquer mensagem de e-mail, impedindo que o destinatário receba a mensagem de e-mail.
A seguir estão alguns dos comandos que os criminosos podem usar para controlar o LightNeuron em um dispositivo comprometido:
bloquear - Bloqueia o email
modificaroconteùdo - Altera o corpo do email
modificarpara - Alterar o destinatário do email
mudaroassunto - Alterar o assunto do email
comando - Analisa o anexo jpg/pdf, descriptografa e executa os comandos.
criar - Cria um novo email
anexar - anexa o email no LOG_OUTPUT
substituir - Substitui o anexo
spam - Recria e reenvia o email do servidor do Exchange para neutralizar o filtro de spam
stat - Registra os cabeçalhos De, Data, Para e Assunto no formato CSV em STAT_PATH
zip - Criptografa o e-mail com a RSA e armazene-o no caminho especificado pelo ZIP_FILE_NAME.
Lidando com o LightNeuron
Infelizmente, a simples exclusão dos arquivos corrompidos vinculados ao LightNeuron interromperá completamente o Microsoft Exchange, desativando os seus recursos de email. Portanto, é necessário desabilitar o Agente de Transporte ameaçador, o que requer algum conhecimento técnico. Também será necessário usar um programa de segurança forte e totalmente atualizado.
