研究人员发现了一种针对Microsoft Exchange邮件服务器并可通过电子邮件附件远程控制的Turla后门，用于攻击来自世界各地的多个目标。

Turla是俄罗斯支持的网络间谍组织（也称为  Waterbug，  Snake，WhiteBear，  VENOMOUS BEAR和Kypton），以攻击来自军队，政府，大使馆等各行各业的40多个国家的各种目标而闻名。

该LightNeuron Turla植入首次带入光于2018 7月10日，卡巴斯基实验室全球研究和分析团队（大），并且观察到同时使用“拦截邮件，exfiltrate数据，甚至代表受害者发送邮件。 “

正如GReAT当时所说，并且由ESET基于“Windows版本中的代码伪像”的新报告证实，自2014年以来，黑客组织将此恶意软件应用作为其运营的一部分，其中Unix变种也在该组的针对Postfix的武器库中和Sendmail服务器。

Turla / LightNeuron受害者地图

通过传输代理持久化 

虽然之前GReAT将LightNeuron恶意软件描述为在感染目标计算机后使用合法标准调用，但ESET发现后门利用Exchange Server传输代理在受感染服务器上获得持久性。

这使LightNeuron能够“以与垃圾邮件过滤器等安全产品相同的信任级别”运行，从而可以读取和更改通过受感染的Microsoft Exchange邮件服务器的所有电子邮件，撰写和发送电子邮件，以及阻止任何电子邮件在到达收件人的收件箱之前。

黑客组使用特制的JPG或PDF附件控制后门，后者包含使用隐写编码的命令，后门执行其主人的命令，然后在检测到时自动阻止包含命令的电子邮件。

因为命令是使用隐写术在附件中编码的 – 通过替换否则将不使用的位来隐藏信息的过程 – 即使接收者将收到“控制”电子邮件。

“对于PDF，命令数据可以在文档中的任何位置.LightNeuron操作员只需在PDF的开头添加一个标题，以指定数据所在的偏移量，”ESET说。

正如研究人员进一步发现的那样，恶意软件使用传输代理的事实也使得很难摆脱看到删除受感染文件“将破坏Microsoft Exchange，阻止组织中的每个人发送和接收电子邮件”。

为确保恶意软件已正确删除且邮件服务器在此过程后仍可运行，受感染的组织将首先必须禁用添加到Mail Exchange服务器的恶意传输代理cmdlet。

“通过利用以前看不见的持久性机制，一个Microsoft Exchange传输代理，LightNeuron允许其运营商在数月或数年内保持警惕，”ESET总结道。“它允许他们通过非常难以检测和阻止的C＆C机制来泄露敏感文档并控制其他本地机器。”

ESET在此GitHub页面上提供了大量的妥协指标（IoC）以及恶意软件样本。

ESET还发布了另一个关于Turla黑客组织用于瞄准Outlook和The Bat 的后门的分析！电子邮件客户端，一种恶意软件，它使用合法的邮件应用程序编程接口（MAPI），能够与Outlook交互并访问目标的收件箱，同时保持隐身性。

参考链接：

https://www.bleepingcomputer.com/news/security/turla-backdoor-deployed-in-attacks-against-worldwide-targets/