Turla 后门针对微软 Exchange 邮件服务器并瞄准全球目标

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

研究人员发现，专门针对微软 Exchange 邮件服务器且通过隐写术经由邮件附件远程控制的一个 Turla 后门正在攻击全球多个目标。

Turla 被指为俄罗斯网络间谍组织（也被称为 Waterbug、Snake、WhiteBear、VENOMOUS BEAR 和 Kypton），它一直都在攻击遍布40多个国家的各种行业，如军事、政府、大使馆、教育、研究和制药行业等。

2018年7月10日，卡巴斯基实验室的 GReAT 团队首次将 LightNeuron Turla 植入曝光与众。当时该植入被用于“拦截邮件、渗透数据、甚至代表受害者发送邮件”。

GReAT 当时指出，且由ESET 团队基于“Windows 版本中的代码伪缺陷”的报告证实称，该黑客组织至少在2014年发动的攻击中就使用过该恶意软件，其 Unix 变体也被纳入该黑客组织的弹药库，专门针对 Postfix 和 Sendmail 服务器。

虽然之前 GReAT 认为 LightNeuron 恶意软件在感染目标机器后使用合法的标准调用，但 ESET 发现该后门使用 Exchange Server 传输代理 (Transport Agent) 在受感染服务器上获得持久性。

这就可导致 LightNeuron “以和安全产品如垃圾过滤器同样的信任级别”操作，导致能够读取并修改所有通过被攻陷的微软 Exchange 邮件服务器的邮件、编写并发送邮件并且在邮件触及收件人的收件箱之前拦截任意邮件。

Turla 黑客组织通过特殊编制的包含使用隐写术编码命令的 JPG 或 PDF 附件来控制该后门，而该后门执行主机命令，之后自动拦截检测到的包含命令的邮件。

由于这些命令是通过隐写术在附件中进行编码，即通过替换不被使用的位来隐藏信息的进程，即使收件人会接受到“control”邮件也不例外。

ESET 公司指出，“在 PDF 情境下，命令数据可能存在于文档中的任何地方。LightNeuron 操纵者们在 PDF 的开始之处添加一个头部信息以明确数据所处的偏移位置。”

研究人员进一步发现，恶意软件使用传输代理的事实导致很难排除这一情况：删除受感染文件“将破坏微软 Exchange，阻止组织机构中的所有人收发邮件。”

为确保该恶意软件已被正确删除且在该进程后邮件服务器仍然可以运行，受攻陷的组织机构首先必须禁用恶意的被添加至 Mail Exchange 服务器中的传输代理 cmdlets。

ESET 公司总结称，“通过利用此前未曾见过的持久性机制即微软 Exchange 传输代理，LightNeuron 使其操纵人员能够隐藏数月到数年的时间，从而通过非常难以检测并拦截的 C&C 机制来渗透敏感文档并控制其它本地机器。”

ESET 公司还分析了 Turla 黑客组织使用的另外一个后门，它针对的是 Outlook 和 The Bat! 邮件客户端，使用合法的通讯应用程序接口 (MAPI) 和 Outlook 交互并在保持隐秘性的前提下获取对目标收件箱的访问权限。

完整报告可见 GitHub 页面：

https://github.com/eset/malware-ioc/tree/master/turla#lightneuron-indicators-of-compromise。

原文链接

https://www.bleepingcomputer.com/news/security/turla-backdoor-deployed-in-attacks-against-worldwide-targets/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。