LightNeuron يسيطر على اتصالات البريد الإلكتروني بالشركات المستهدفة
كشفت أبحاث «إسيت» ESET عن أداة تخريبية تسمى LightNeuron، وهو برنامج ضار متخفي في "مايكروسوفت إكس تشانج" Microsoft Exchange يمكنه قراءة أو تعديل أو حظر أي بريد إلكتروني يمر عبر خادم البريد، ويمكنه أيضًا إنشاء رسائل بريد إلكتروني جديدة وإرسالها تحت هوية المستخدم الشرعي. ويتم التحكم في البرنامج الضار عن بُعد عبر رسائل البريد الإلكتروني باستخدام مرفقات PDF وJPG ذات معلومات خفية.
يقول " ماتيو فو"، باحث البرمجيات الخبيثة لدى شركة «إسيت» والذي أجرى البحث: "نعتقد أنه يجب إطلاع محترفي أمن تكنولوجيا المعلومات على هذا التهديد الجديد".
يستهدف LightNeuron خوادم بريد "مايكروسوفت إكس تشانج" منذ عام 2014. وقد حدد باحثو «إسيت» ثلاث مؤسسات مختلفة وقعت ضحية لهذا البرنامج الضار، من بينها وزارة الشئون الخارجية في بلد من أوروبا الشرقية ومنظمة دبلوماسية إقليمية في الشرق الأوسط.
جمع باحثو «إسيت» أدلة تشير بشكل مؤكد إلى أن LightNeuron ينتمي إلى مجموعة التجسس السيئة السمعة Turla، المعروفة أيضًا باسم Snake. تتم تغطية ومراقبة هذه المجموعة وأنشطتها على نطاق واسع من قبل قسم البحوث في شركة «إسيت».
LightNeuron هو أول برنامج ضار معروف يسيء استخدام آلية Microsoft Exchange Transport Agent. وأوضح "ماتيو فو": "يمكن أن يعمل LightNeuron في بنية خادم البريد بنفس مستوى منتجات الأمن البريدي والقيام بمهام مثل تصفية البريد العشوائي. ونتيجة لذلك، تمنح هذه البرامج الضارة للمهاجم سيطرة كاملة على خادم البريد – وبالتالي تتم السيطرة على جميع الاتصالات عبر البريد الإلكتروني".
ولجعل رسائل البريد الإلكتروني الخاصة بالقيادة والتحكم (C&C) تبدو وكأنها بدون مشكلات، يقوم LightNeuron بإخفاء أوامره داخل مستندات PDF صالحة أو صور JPG.
