كشفت أبحاث ESET عن LightNeuron ، وهو برنامج يتحفي في Microsoft Exchange يمكنه قراءة أو تعديل أو حظر أي بريد إلكتروني يمر عبر خادم البريد ، وحتى إنشاء رسائل بريد إلكتروني جديدة وإرسالها تحت هوية أي مستخدم شرعي من اختيار المهاجمين.
يتم التحكم في البرامج الضارة عن بعد عبر رسائل البريد الإلكتروني باستخدام مرفقات PDF و JPG steganographic.
يقول Matthieu Faou ، باحث البرمجيات الخبيثة في ESET والذي أجرى هذا البحث: "يجب علي محترفي أمن تكنولوجيا المعلومات أخذ احتياطاتهم من هذا التهديد الجديد". يستهدف LightNeuron خوادم بريد Microsoft Exchange منذ عام 2014 على الأقل. وقد حدد باحثو ESET ثلاث منظمات مختلفة كانو ضحايا لذلك الهجوك، من بينها وزارة الشؤون الخارجية في بلد من أوروبا الشرقية ومنظمة دبلوماسية إقليمية في الشرق الأوسط.جمع باحثو ESET أدلة تشير ، إلى أن LightNeuron ينتمي إلى ترسانة مجموعة التجسس سيئة السمعة التي يطلق عليها Turla ، المعروفة أيضًا باسم Snake.
تتم تغطية هذه المجموعة وأنشطتها على نطاق واسع من قبل أبحاث ESET. LightNeuron هو أول برنامج ضار معروف يهاجم ويسيء استخدام Microsoft Exchange Transport Agent.
كما يوضح Faou "في بنية خادم البريد ، يمكن أن يعمل LightNeuron بنفس مستوى الثقة مثل منتجات الأمان للبريد الالكتروني مثل بريامج تصفية البريد الالكتروني من الرسائل غير المرغوب فيها. ونتيجة لذلك ، فان هذا البرنامج الضار يمنح للمهاجم سيطرة كاملة على خادم البريد - وبالتالي ، على جميع الاتصالات عبر البريد الإلكتروني ، ".
ولجعل التحكم برسائل البريد الإلكتروني تبدو بريئة ، يستخدم LightNeuron إخفاء المعلومات لإخفاء أوامره داخل مستندات PDF أو صور JPG. وبذلك تجعلها قادرة على التحكم في اتصالات البريد الإلكتروني بشكل مثالي وأيضا للتسلل الخفي للوثائق ، وكذلك للتحكم في الأجهزة المحلية الأخرى عبر آلية C&C التي يصعب اكتشافها وحظرها.
استمر Faou قائلا "نظرًا للتحسينات الأمنية في أنظمة التشغيل ، والذي يجعل برامج التجسس الخبيثة تتلاشى بسرعة. ومع ذلك ، تستمر حاجة المهاجمين إلى الأدوات التي يمكن أن تعيش في النظام المستهدف ، والبحث عن مستندات قيمة وسحقها، كل ذلك دون إثارة أية شكوك. وبذلك السبب برز LightNeuron كحل من Turla".
حذر باحثو ESET من أن تنظيف LightNeuron من إحدى الشبكات ليس بالمهمة السهلة: ببساطة لا تعمل إزالة الملفات الضارة ، حيث إن ذلك سيعمل علي إتلاف خادم البريد الإلكتروني.كما نصح Faou "نحن نشجع المسؤولين على قراءة ورقة البحث بالكامل قبل تنفيذ آلية التنظيف".
يمكن الاطلاع على التحليل التفصيلي ، بما في ذلك القائمة الكاملة للمؤشرات والعينات ، في ورقة البحث Turla LightNeuron: One Email Away from Remote Code Execution وعلى موقع GitHub.
حول ESET
لمدة 30 عامًا ، تعمل ESET®على تطوير برامج وخدمات أمان تكنولوجيا المعلومات الرائدة للشركات والأفراد في جميع أنحاء العالم. مع حلول تتراوح من نقطة النهاية وأمن الهاتف إلى التشفير والمصادقة ثنائية العوامل ، توفر منتجات ESET آداء عالي وسهولة الاستخدام مما يعطي راحة البال للمستخدمين للاستمتاع بالإمكانات الكاملة لتقنياتهم. تقوم ESET بالحماية والمراقبة 24/7 بشكل خفي ، وتحديث الدفاعات بشكل لحظي للحفاظ على أمان المستخدمين وتشغيل الشركات دون انقطاع. تتطلب التهديدات المتطورة شركة أمنية متطورة لتكنولوجيا المعلومات. بدعم من مراكز البحث والتطوير في جميع أنحاء العالم ، أصبحت ESET أول شركة لأمن تكنولوجيا المعلومات تحصل على 100 جائزة من فيروسات Bulbin VB100 ، والتي تحدد كل البرامج الضارة دون انقطاع منذ عام 2003. لمزيد من المعلومات ، تفضل بزيارة www.eset.com أو متابعتنا على LinkedIn و Facebook و Twitter .