GhostContainer, un nou backdoor care vizează serverele Microsoft Exchange

GhostContainer, un nou backdoor bazat pe instrumente open-source care vizează serverele Microsoft Exchange care sunt utilizate și pentru gestionarea serviciilor de e-mail, a fost identificat de Kaspersky.

Acest malware, necunoscut anterior și extrem de personalizat, a fost identificat în timpul unui caz de răspuns la incidente (Incident Response – IR), vizând infrastructura Exchange din mediile guvernamentale. Se suspectează că malware-ul face parte dintr-o campanie de tip APT (advanced persistent threat) care vizează entități de mare valoare din Asia, inclusiv companii din domeniul high-tech.

Fișierul detectat de Kaspersky ca App_Web_Container_1.dll s-a dovedit a fi un backdoor sofisticat, multifuncțional, care utilizează mai multe proiecte open-source și care poate fi extins dinamic cu funcționalități suplimentare prin descărcarea de module adiționale.

GhostContainer permite controlul complet asupra serverului

Odată încărcat, acesta oferă atacatorilor control complet asupra serverului Exchange, permițând o gamă largă de activități malițioase. Pentru a evita detectarea de către soluțiile de securitate, folosește mai multe tehnici de evitare și se prezintă ca o componentă legitimă a serverului, integrându-se în operațiunile normale.

În plus, poate acționa ca proxy sau tunnel, expunând potențial rețeaua internă la amenințări externe sau facilitând exfiltrarea de date sensibile din sistemele interne. Prin urmare, se suspectează că scopul campaniei este spionajul cibernetic.

În acest moment, nu este posibilă atribuirea lui GhostContainer vreunui grup de atacatori cunoscut, deoarece aceștia nu și-au expus infrastructura. Malware-ul include cod din mai multe proiecte open-source accesibile publicului, care ar putea fi folosit de hackeri sau grupuri APT de oriunde din lume.

Este de remarcat faptul că, până la sfârșitul lui 2024, au fost identificate în total 14.000 de pachete malițioase în proiecte open-source – o creștere de 48% comparativ cu sfârșitul anului 2023 – evidențiind astfel amenințarea tot mai mare în acest domeniu.

Microsoft Exchange este o soluție pentru gestionarea mesajelor și colaborare, care permit utilizatorilor să organizeze e-mailuri, calendare, contacte și să colaboreze eficient.