研究人员揭露可长期蛰伏于微软Exchange Server的后门程式

资安业者ESET本周揭露了一个专门锁定微软Exchange Server的后门程式LightNeuron，它变身为Exchange上的传输代理人（Transport Agent）以干预使用者所收发的邮件，骇客集团还能透过电子邮件来操纵LightNeuron。

微软允许Exchange用户安装客制化的软件来处理邮件，其中的传输代理人具备于垃圾邮件过滤机制同样的可靠等级，因此，当骇客于Exchange上植入LightNeuron作为传输代理人之后，它就能读取及变更任何通过该邮件服务器的Email，还能撰写与传送新邮件，或是封锁邮件。

在成功于目标对象的Exchange服务器上植入LightNeuron之后，骇客即透过电子邮件来操纵LightNeuron，通常是在邮件中夹带内含恶意命令的PDF或JPG档案，以用来执行命令/程序/程式、删除或窃取档案或暂时关闭后门等，而且当LightNeuron察觉到这是封含有命令的邮件，即会在服务器端予以封锁，避免传送到使用者端而被查获。

其实卡巴斯基实验室在去年7月就发现了LightNeuron，不管是ESET或卡巴斯基实验室都认为，LightNeuron与俄罗斯网络间谍集团Turla有关，且自2014年就被应用在实际攻击中，也都认为LightNeuron不仅有Windows版本，也有适用于Postfix及Sendmail的Linux版本。

迄今全球至少有3个组织感染了LightNeuron，一个是东欧外交部，另一个为中东的区域外交组织，还有一个位于巴西。

LightNeuron不仅非常隐密，而且如果只是简单移除相关的两个恶意档案还会破坏Exchange的功能，让受害者完全无法寄出或收到邮件，ESET则建议要移除恶意档案之前，应先关闭恶意的传输代理人。