GhostContainer: Kaspersky identifică un nou backdoor care vizează serverele Microsoft Exchange

Echipa Global Research and Analysis Team (GReAT) a Kaspersky a descoperit un nou backdoor bazat pe instrumente open-source, denumit GhostContainer. Acest malware necunoscut anterior, extrem de personalizat, a fost identificat în timpul unui caz de răspuns la incidente (Incident Response – IR), vizând infrastructura Exchange din mediile guvernamentale. Se suspectează că malware-ul face parte dintr-o campanie de tip APT (advanced persistent threat) care vizează entități de mare valoare din Asia, inclusiv companii din domeniul high-tech.

Fișierul detectat de Kaspersky ca App_Web_Container_1.dll s-a dovedit a fi un backdoor sofisticat, multifuncțional, care utilizează mai multe proiecte open-source și care poate fi extins dinamic cu funcționalități suplimentare prin descărcarea de module adiționale.

Odată încărcat, acesta oferă atacatorilor control complet asupra serverului Exchange, permițând o gamă largă de activități malițioase. Pentru a evita detectarea de către soluțiile de securitate, folosește mai multe tehnici de evitare și se prezintă ca o componentă legitimă a serverului, integrându-se în operațiunile normale. În plus, poate acționa ca proxy sau tunnel, expunând potențial rețeaua internă la amenințări externe sau facilitând exfiltrarea de date sensibile din sistemele interne. Prin urmare, se suspectează că scopul campaniei este spionajul cibernetic.

În acest moment, nu este posibilă atribuirea lui GhostContainer vreunui grup de atacatori cunoscut, deoarece aceștia nu și-au expus infrastructura. Malware-ul include cod din mai multe proiecte open-source accesibile publicului, care ar putea fi folosit de hackeri sau grupuri APT de oriunde din lume. Este de remarcat faptul că, până la sfârșitul lui 2024, au fost identificate în total 14.000 de pachete malițioase în proiecte open-source – o creștere de 48% comparativ cu sfârșitul anului 2023 – evidențiind astfel amenințarea tot mai mare în acest domeniu.

Raportul complet este disponibil pe Securelist.com

Pentru a evita să deveniți victimă unui atac țintit din partea unui atacator cibernetic cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:

• Oferiți echipei SOC acces la cele mai recente informații despre amenințări (Threat Intelligence – TI). Kaspersky Threat Intelligence este un punct unic de acces la datele și informațiile despre atacuri cibernetice colectate de Kaspersky în peste 20 de ani.
• Perfecționați-vă echipa de securitate cibernetică pentru a combate cele mai recente amenințări țintite, folosind cursurile online Kaspersky dezvoltate de experții GReAT.
• Pentru detecția la nivel de endpoint, investigație și remediere rapidă a incidentelor, implementați soluții EDR, precum Kaspersky Endpoint Detection and Response.
• Pe lângă protecția esențială la nivel endpoint, adoptați o soluție de securitate la nivel corporativ care detectează amenințările avansate în rețea din fazele incipiente, cum ar fi Kaspersky Anti Targeted Attack Platform.
• Deoarece multe atacuri țintite încep cu phishing sau alte tehnici de inginerie socială, introduceți training-uri de conștientizare a securității și învățați echipa abilități practice – de exemplu, prin Kaspersky Automated Security Awareness Platform.