Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

LightNeuron : le malware qui prend le contrôle total des communications des entreprises utilisant MS Exchange

mai 2019 par ESET

Les chercheurs ESET ont découvert LightNeuron, une porte dérobée aux capacités stupéfiantes ciblant Microsoft Exchange. Une fois le serveur de messagerie compromis, LightNeuron peut lire, modifier ou bloquer n’importe quel courriel passant par ce dernier. Mieux : ce malware peut aussi rédiger de nouveaux courriels et les envoyer sous l’identité de tout utilisateur légitime de son choix.

LightNeuron est contrôlé à distance par le biais de courriers électroniques envoyés par son opérateur et contenant des pièces jointes au format PDF et JPG dans lesquelles se dissimulent des instructions, par le biais de la stéganographique.

« Nous pensons qu’il est important que les professionnels de la sécurité informatique soient sensibilisés à cette nouvelle menace », commente Matthieu Faou, le chercheur en malware qui a dirigé cette recherche au sein des laboratoires ESET.

LightNeuron n’est pourtant pas nouveau : il cible les serveurs de messagerie Microsoft Exchange depuis au moins 2014. Les chercheurs ESET ont identifié trois victimes, parmi lesquelles un ministère des affaires étrangères dans un pays d’Europe de l’Est et une organisation diplomatique régionale au Moyen-Orient.

Les chercheurs ESET ont collecté des traces techniques et des preuves suggérant, avec un haut niveau de confiance, que LightNeuron appartient à l’arsenal du fameux groupe d’espionnage Turla, également connu sous le nom de Snake. Ce groupe et ses activités sont bien connus et bien documentés par le laboratoire ESET : https://www.welivesecurity.com/?s=Turla

LightNeuron est le premier logiciel malveillant connu qui s’appuie sur la technologie des agents de transport Microsoft Exchange. « Dans l’architecture du serveur de messagerie, LightNeuron fonctionne ainsi au même niveau de confiance que les produits de sécurité tels que les filtres anti-spam. Par conséquent, ce logiciel malveillant donne à l’attaquant un contrôle total sur le serveur de messagerie - et donc sur toutes les communications par courrier électronique », explique Matthieu Faou.

Pour que les courriels de commande et de contrôle (C&C) entrants semblent inoffensifs, LightNeuron utilise la stéganographie pour dissimuler ses commandes dans des documents PDF ou des images JPG parfaitement valides, et à l’apparence anodine.

La possibilité de contrôler la communication par e-mail fait de LightNeuron un outil parfait pour l’exfiltration furtive de documents, ainsi que pour assurer le contrôle d’autres machines locales. En effet, l’envoi d’emails locaux à ces machines via le serveur de courriers compromis constitue un mécanisme C&C très difficile à détecter et à bloquer.

« En raison de l’amélioration de la sécurité des systèmes d’exploitation, les rootkits du noyau — le Saint Graal de l’espionnage malveillant — ont tendance à disparaitre de l’arsenal des attaquants. Mais ces derniers ont évidemment toujours besoin d’outils capables de s’installer durablement dans le système ciblé, de rechercher des documents de valeur et de les siphonner. Et le tout, évidemment, de manière furtive. LightNeuron semble répondre parfaitement à toutes ces problématiques aux yeux du groupe Turla », conclut Matthieu Faou.

Par ailleurs, les chercheurs ESET mettent en garde contre les tentatives de désinfection non maîtrisées de LightNeuron. Retirer ce malware d’un réseau compromis n’est pas une tâche facile car la simple suppression des fichiers malveillants briserait le serveur de messagerie.

« Nous encourageons fortement les administrateurs à lire notre document de recherche dans son intégralité avant de mettre en place un mécanisme de nettoyage », conseille Matthieu Faou.

L’analyse détaillée, y compris la liste complète des indicateurs de compromis (IoC) et des échantillons, peut être trouvée dans le document de recherche « Turla LightNeuron : One Email Away from Remote Code Execution » et sur GitHub.




Voir les articles précédents

    

Voir les articles suivants