شرکت ESET در گزارشی عملکرد گروه Turla را مورد بررسی قرار داده است و در این گزارش به بررسی جامع Backdoor LightNeuron که به صورت اختصاصی برای نفوذ و سرقت اطاعات از سرور های Microsoft Exchange طراحی شده، پرداخته است.
با بررسی عملکرد و حملات گروه Turla می توان هدف های مهم این گروه را به چهار دسته زیر تقسیم کرد:
با نگاه کردن به اهداف مورد نظر این گروه میزان اهمیت و حساسیت این Backdoor LightNeuron مشخص می گردد.
این گروه با استفاده از این Backdoor می تواند:
نکته جالبی که در مورد این Backdoor وجود دارد طریقه دریافت فرامین از طرف مهاجم است، به این صورت که به جای اتصال مستقیم به آن، تمامی دستورات در قالب کد های مخفی از طریق Attachment های JPG و PDF ایمیل ارسال می گردد.
Backdoor LightNeuron از طریق یک Malware ایجاد می گردد که این Malware شامل دو بخش می باشد:
یک Transport Agent که خود را در تنظیمات Microsoft Exchange ثبت می کند و دیگری یک Dynamic Link Library یا به اختصار DLL.
Microsoft Exchange این اجازه را به شرکت ها می دهد تا با استفاده از Transport Agent های اختصاصی عملکرد میل سرور خود را افزایش دهند. Transport Agent می توانند توسط Microsoft، شرکت های Third-Party و یا خود سازمان ها نوشته شوند و هدف از نوشتن آن ها می تواند فیلترینگ اسپم ها، ایمیل ها و پیوست های مخرب و همچنین اضافه کردن امضاء شرکت به پایان تمامی ایمیل ها باشد. در این جا گروه Turla برای اولین بار از یک Transport Agent جهت اهداف خرابکارانه استفاده کرده است. بر اساس فعالیت های قدیمی این گروه احتمال می رود که این Backdoor در مناطقی از برزیل، اروپای شرقی و همچنین خاورمیانه استفاده شده باشد.
بنابراین توصیه می شود تا از روش های زیر جهت کمتر کردن احتمال آلوده شدن استفاده کنید
منبع: ESET Compony