Turla后门部署在全球目标的攻击中

      Turla后门部署在全球目标的攻击中无评论

研究人员发现了一种针对Microsoft Exchange邮件服务器并可通过电子邮件附件远程控制的Turla后门,用于攻击来自世界各地的多个目标。

Turla是俄罗斯支持的网络间谍组织(也称为  Waterbug,  Snake,WhiteBear,  VENOMOUS BEAR和Kypton),以攻击来自军队,政府,大使馆等各行各业的40多个国家的各种目标而闻名。

该LightNeuron Turla植入首次带入光于2018 7月10日,卡巴斯基实验室全球研究和分析团队(大),并且观察到同时使用“拦截邮件,exfiltrate数据,甚至代表受害者发送邮件。 “

正如GReAT当时所说,并且由ESET基于“Windows版本中的代码伪像”的新报告证实,自2014年以来,黑客组织将此恶意软件应用作为其运营的一部分,其中Unix变种也在该组的针对Postfix的武器库中和Sendmail服务器。

Turla / LightNeuron受害者地图

 

通过传输代理持久化 

虽然之前GReAT将LightNeuron恶意软件描述为在感染目标计算机后使用合法标准调用,但ESET发现后门利用Exchange Server传输代理在受感染服务器上获得持久性。

这使LightNeuron能够“以与垃圾邮件过滤器等安全产品相同的信任级别”运行,从而可以读取和更改通过受感染的Microsoft Exchange邮件服务器的所有电子邮件,撰写和发送电子邮件,以及阻止任何电子邮件在到达收件人的收件箱之前。

黑客组使用特制的JPG或PDF附件控制后门,后者包含使用隐写编码的命令,后门执行其主人的命令,然后在检测到时自动阻止包含命令的电子邮件。

因为命令是使用隐写术在附件中编码的 – 通过替换否则将不使用的位来隐藏信息的过程 – 即使接收者将收到“控制”电子邮件。

“对于PDF,命令数据可以在文档中的任何位置.LightNeuron操作员只需在PDF的开头添加一个标题,以指定数据所在的偏移量,”ESET说。

正如研究人员进一步发现的那样,恶意软件使用传输代理的事实也使得很难摆脱看到删除受感染文件“将破坏Microsoft Exchange,阻止组织中的每个人发送和接收电子邮件”。

为确保恶意软件已正确删除且邮件服务器在此过程后仍可运行,受感染的组织将首先必须禁用添加到Mail Exchange服务器的恶意传输代理cmdlet。

“通过利用以前看不见的持久性机制,一个Microsoft Exchange传输代理,LightNeuron允许其运营商在数月或数年内保持警惕,”ESET总结道。“它允许他们通过非常难以检测和阻止的C&C机制来泄露敏感文档并控制其他本地机器。”

ESET在此GitHub页面上提供了大量的妥协指标(IoC)以及恶意软件样本。

ESET还发布了另一个关于Turla黑客组织用于瞄准Outlook和The Bat 的后门的分析!电子邮件客户端,一种恶意软件,它使用合法的邮件应用程序编程接口(MAPI),能够与Outlook交互并访问目标的收件箱,同时保持隐身性。

 

参考链接:

https://www.bleepingcomputer.com/news/security/turla-backdoor-deployed-in-attacks-against-worldwide-targets/

发表评论