Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Malware de Microsoft Exchange

  • Publicado: 07/05/2019
  • Importancia: Alta

Recursos afectados

Nueva puerta trasera desarrollada por el grupo de espionaje Turla, también conocido como Snake. La puerta trasera denominada LightNeuron, se enfoca en servidores de correo electrónico de Microsoft Exchange.

Según Eset se identificaron tres grupos de usuarios que han sido infectados.

Captura.PNG

Es el primer malware específicamente dirigido a servidores de correo electrónico, que utiliza una técnica de persistencia sin antecedentes. En la arquitectura del servidor de correo funciona con el mismo nivel de confianza que los productos de seguridad, como los filtros de spam.

Captura.PNG

LightNeutron utiliza esteganografía para ocultar comandos dentro de un documento PDF o una imagen JPG y si un correo electrónico fuera interceptado podría pasar como legítimo porque contiene un archivo adjunto valido.

Representación de un archivo PDF en hexadecimal que contiene un contenedor de comandos LightNeutron

Captura.PNG

Si un archivo cuenta con ese contenedor de comandos en algún correo, es enviado a un servidor comprometido por LightNeuron, se ejecutará en el servidor Exchange Microsoft una calculadora además del código de instrucción 0x04, que ejecuta el ejecutable dado por el primer argumento, hay otros ocho códigos de instrucción que tienen hasta tres argumentos.

Captura.PNG

Etiquetas