El grupo Turla y LightNeuron, el backdoor que infecta a servidores de Microsoft Exchange

Gracias a las mejoras en seguridad de los sistemas operativos, el uso de rootkits ha estado en constante declive durante varios años. Por lo cual, los desarrolladores de malware, crean nuevos malwares para evadir las soluciones de seguridad.

Una investigación, deja al descubierto al grupo Turla, también conocido como Snake, WaterBug, WhiteBear, entre otros. Quienes estarían utilizando el backdoor LightNeuron, ha el cual está dirigido específicamente a los servidores de correo de Microsoft Exchange desde al menos 2014. Las principales víctimas se ubican en Brasil, Europa Oriental y Oriente Medio.

LightNeuron, es catalogado según los expertos como el primer malware específicamente dirigido a servidores de correo electrónico de Microsoft Exchange, el cual utiliza una técnica de persistencia nunca antes vista: un agente de transporte. En la arquitectura del servidor de correo, funciona con el mismo nivel de confianza que productos de seguridad, como por ejemplo, los filtros de spam.

Las características de este agente de transporte son los siguientes:
  1. Leer y modificar cualquier correo electrónico que pase por el servidor de correo.
  2. Redactar y enviar nuevos correos electrónicos.
  3. Bloquear cualquier email. Lo que se traduce en que el destinatario no recibirá el correo electrónico.
El controlador de comandos (command handler) es diferente de los otros que realizan modificaciones en correos de forma convencional. en esta ocasión, los comandos están ocultos en PDF o archivos adjuntos JPG utilizando esteganografía.

Los atacantes solo deben enviar un correo electrónico que contenga un documento PDF o una imagen JPG manipulada, hacia cualquier dirección de correo electrónico de la organización comprometida. Una vez que se haya hecho esto, se permite el control total sobre el servidor de Microsoft Exchange utilizando unos comandos predefinidos. Para más información sobre la investigación, consulta el link de referencia.


REFERENCIA

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: El grupo Turla y LightNeuron, el backdoor que infecta a servidores de Microsoft Exchange
El grupo Turla y LightNeuron, el backdoor que infecta a servidores de Microsoft Exchange
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCTBZb_sPaC7nXZriXPslopMDJOvCxy6SsG4lKFtB9D8illjIhVl9ASD7OSrfNX4l1Ryr7pMfuy8K7CnIBu-VUBtUNT5y4vYFZij6GcchdY48FhXL9yoSRT_FZ3LAjudzYsNMW9qU5GsQ/s640/exhnache.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCTBZb_sPaC7nXZriXPslopMDJOvCxy6SsG4lKFtB9D8illjIhVl9ASD7OSrfNX4l1Ryr7pMfuy8K7CnIBu-VUBtUNT5y4vYFZij6GcchdY48FhXL9yoSRT_FZ3LAjudzYsNMW9qU5GsQ/s72-c/exhnache.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/05/el-grupo-turla-y-lightneuron-el.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/05/el-grupo-turla-y-lightneuron-el.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy