Software

GhostContainer, un nou backdoor bazat pe instrumente open-source care vizeaza serverele Microsoft Exchange care sunt utilizate si pentru gestionarea serviciilor de e-mail, a fost identificat de Kaspersky.

Acest malware, necunoscut anterior si extrem de personalizat, a fost identificat in timpul unui caz de raspuns la incidente (Incident Response - IR), vizand infrastructura Exchange din mediile guvernamentale. Se suspecteaza ca malware-ul face parte dintr-o campanie de tip APT (advanced persistent threat) care vizeaza entitati de mare valoare din Asia, inclusiv companii din domeniul high-tech.

Fisierul detectat de Kaspersky ca App_Web_Container_1.dll s-a dovedit a fi un backdoor sofisticat, multifunctional, care utilizeaza mai multe proiecte open-source si care poate fi extins dinamic cu functionalitati suplimentare prin descarcarea de module aditionale.

Odata incarcat, acesta ofera atacatorilor control complet asupra serverului Exchange, permitand o gama larga de activitati malitioase. Pentru a evita detectarea de catre solutiile de securitate, foloseste mai multe tehnici de evitare si se prezinta ca o componenta legitima a serverului, integrandu-se in operatiunile normale.

In plus, poate actiona ca proxy sau tunnel, expunand potential reteaua interna la amenintari externe sau facilitand exfiltrarea de date sensibile din sistemele interne. Prin urmare, se suspecteaza ca scopul campaniei este spionajul cibernetic.

In acest moment, nu este posibila atribuirea lui GhostContainer vreunui grup de atacatori cunoscut, deoarece acestia nu si-au expus infrastructura. Malware-ul include cod din mai multe proiecte open-source accesibile publicului, care ar putea fi folosit de hackeri sau grupuri APT de oriunde din lume.

Este de remarcat faptul ca, pana la sfarsitul lui 2024, au fost identificate in total 14.000 de pachete malitioase in proiecte open-source - o crestere de 48% comparativ cu sfarsitul anului 2023 - evidentiind astfel amenintarea tot mai mare in acest domeniu.

Microsoft Exchange este o solutie pentru gestionarea mesajelor si colaborare, care permit utilizatorilor sa organizeze e-mailuri, calendare, contacte si sa colaboreze eficient.

Articolul GhostContainer, un nou backdoor care vizeaza serverele Microsoft Exchange apare prima data in Go4IT.