image

Malware voor Microsoft Exchange-servers onderschept e-mails

dinsdag 7 mei 2019, 15:25 door Redactie, 3 reacties
Laatst bijgewerkt: 08-05-2019, 11:19

Onderzoekers hebben malware voor Microsoft Exchange-servers ontdekt die speciaal ontwikkeld is om e-mails te lezen, aan te passen of te blokkeren en tevens als een backdoor dient. Daarnaast is de malware zeer lastig te verwijderen. Dat meldt antivirusbedrijf ESET in een vandaag verschenen rapport.

Volgens de virusbestrijder maken de aanvallers gebruik van een techniek die nog nooit eerder is gezien, namelijk een Transport Agent. Microsoft Exchange biedt via het gebruik van Transport Agents extra functionaliteit, zoals het filteren van spam en besmette e-mails en het toevoegen van een onderschrift aan elke verstuurde e-mail.

Transport Agents kunnen worden gemaakt door Microsoft, externe leveranciers of de organisatie die de Exchange-server beheert. De LightNeuron-malware voegt een Transport Agent toe waarmee het berichten kan onderscheppen, lezen en blokkeren, alsmede nieuwe e-mails versturen. Het lijkt erop dat de aanvallers de getroffen organisaties eerst compromitteren en dan de Exchange Server-infecteren. Zo ontdekte ESET op het netwerk van getroffen organisaties ook andere malware van de aanvallers. De onderzoekers stellen dat er voor het installeren van de malware waarschijnlijk gestolen inloggegevens zijn gebruikt.

De eerste versie van de LightNeuron-malware zou al in 2014 zijn ontwikkeld. De meest recente versie is in 2016 gemaakt. Onder andere diplomatieke organisaties en ministeries van Buitenlandse Zaken in Oost-Europa en het Midden-Oosten waren doelwit van de aanvallers. Deze aanvallen vonden in 2017 en 2018 plaats. "In een aantal gevallen draaide LightNeuron met systeemrechten. Het is vaak lastig om dergelijke rechten op een Exchange-server te krijgen, aangezien het één van de belangrijkste middelen van een organisatie is. Eenmaal gecompromitteerd is het waarschijnlijk dat de malware maanden of jaren onopgemerkt blijft", aldus de onderzoekers.

Het verwijderen van de malware is geen eenvoudige opgave, zo laten de onderzoekers in het onderzoeksrapport verder weten (pdf). Door de twee kwaadaardige bestanden van de malware te verwijderen stopt de Microsoft Exchange-server namelijk met werken en kan niemand in de organisatie nog e-mails versturen of ontvangen. Antivirusbedrijven wordt dan ook aangeraden om deze twee bestanden niet zomaar te verwijderen, maar van een goede schoonmaakroutine gebruik te maken. Het is belangrijk om de kwaadaardige Transport Agent eerst uit te schakelen.

Volgens ESET wordt de LightNeuron-malware door een groep genaamd Turla gebruikt, die ook als Snake en Uroburos bekendstaat. De groep zou verantwoordelijk zijn voor inbraken bij een Zwitsers defensiebedrijf en het Belgische ministerie van Buitenlandse Zaken. Via social engineering en zerodaylekken weet de groep al jarenlang computers te infecteren en gebruikt daarbij zelfs satellieten om data te stelen.

Image

Reacties (3)
07-05-2019, 15:41 door Anoniem
Hert ** < t verwijderen. is belangrijk om de kwaadaardige Transport Agent eerst uit te schakelen.
08-05-2019, 08:17 door Bitje-scheef
Alhoewel MS met de nieuwe versies van Exchange goed bezig waren kwa stabiliteit, verbeterde security en upgradebility, blijft het toch zeer kwetsbaar. Outlook eigenlijk hetzelfde. Visueel goed ontworpen, maar onder de motorkap krijg je nog wel eens een security verrassing. Helaas de wet van de grote install-base.
08-05-2019, 10:26 door Anoniem
Door Bitje-scheef: Alhoewel MS met de nieuwe versies van Exchange goed bezig waren kwa stabiliteit, verbeterde security en upgradebility, blijft het toch zeer kwetsbaar. Outlook eigenlijk hetzelfde. Visueel goed ontworpen, maar onder de motorkap krijg je nog wel eens een security verrassing. Helaas de wet van de grote install-base.

Dat is hier niet aan de orde: men heeft namelijk al admin rechten verkregen. Men gebruikt vervolgens een feature maar dan op een kwaadwillende manier. Verplichtte signatures in Agents kunnen wellicht helpen, zoals je ook met PowerShell scripts ExecutionPolicies kan hebben. Maar als je al admin bent kan je daar wellicht ook omheen werken...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.