最近発見されたマルウェア感染は、Microsoft の Exchange Server の基本機能を利用して、コンピュータ システムをリモートで監視および制御します。
ESETの研究者らは今週、「LightNeuron」として知られる悪質なソフトウェアはExchange内の正当なコンポーネントを悪用するため、管理者が検出するのが特に難しいと述べた。
ESETによると、LightNeuronは具体的には、改ざんされたDLLと特別に細工されたトランスポートエージェントを組み合わせて実行します。トランスポートエージェントは、スパムフィルタリングや添付ファイルのスクリーニングなどのために設計されており、サーバーに出入りするすべてのメッセージを分析します。
当然のことながら、悪意のあるトランスポート エージェントをサーバー上に (PowerShell コマンドなどを使用して) インストールすることは、企業をスパイしたい人にとっては特に便利であり、管理者にとっては悪いことです。
ESETは、「われわれの知る限り、永続性のためにMicrosoft Exchange Transport Agentを活用するのはユニークで、これまでに見たことのないものだ」と述べた。
さらに、私たちが調査した数少ない事例では、LightNeuronはSYSTEM権限で実行されていました。Microsoft Exchangeサーバーは組織にとって最も重要な資産の一つであるため、このレベルの権限を取得することは通常困難です。そのため、一度侵害されると、数ヶ月、あるいは数年もの間、検知されないままになる可能性があります。
感染の後半部分は、追加のコマンドを処理・実行する悪意のあるDLLです。このライブラリは、メールの送信、アクティビティのログ記録と送信、サーバーを通過するメッセージの改ざんといった命令を実行できます。
これらのコマンドを送信するには、添付ファイルに埋め込む必要があります。ESETが確認したケースでは、ステガノグラフィー、つまりPDFまたはJPGファイルの16進コードにコマンドを入力する手法が用いられていました。
恐喝犯がテック界のスターたちが利用するITプロバイダーをハッキング、身代金未払いで顧客情報を漏洩
続きを読む
攻撃者はコマンドをファイルに書き込み、感染したサーバーへのメッセージに添付して送信します。このメッセージはLightNeuronのトランスポートエージェントによって検出され、DLLに渡されます。DLLは画像情報にアクセスし、そこに含まれるコマンドを実行します。
したがって、犯罪者 (この場合は、ヨーロッパと中東の外交活動を標的とした長期にわたる活動である Turla) は、感染したマシン上のマルウェアやスパム フィルターに気付かれることなく、Exchange Server へのリモート アクセスと制御を維持することができます。
たとえ感染が発見されたとしても、サーバーを完全に書き換えない限り、感染を一掃するのは面倒な作業です。
ESETは「LightNeuronのクリーニングは簡単な作業ではない」と説明した。
「2つの悪意のあるファイルを削除するだけでMicrosoft Exchangeが壊れ、組織内の全員がメールを送受信できなくなります。」
セキュリティ担当は、管理者に対し、LightNeuronをサーバーに侵入するために利用される侵入経路を最初から封鎖することを推奨しています。管理者アカウントは2要素認証(2FA)で厳重に保護し、PowerShellコマンドへのアクセスは厳重に制限し、トランスポートエージェントのインストールは綿密に監視する必要があります。®
