Das GReAT-Team entdeckte die Schadsoftware im Rahmen von Incident-Response-Operationen auf Regierungssystemen , die Microsoft Exchange verwenden. GhostContainer ist vermutlich Teil einer ausgeklügelten und hartnäckigen APT-Kampagne (Advanced Persistent Threat), die sich gegen wichtige Organisationen in Asien richtet, darunter auch große Technologieunternehmen.
Die von Kaspersky entdeckte Schaddatei App_Web_Container_1.dll ist eine multifunktionale Backdoor, die durch den Remote-Download zusätzlicher Module erweitert werden kann. Die Malware nutzt zahlreiche Open-Source-Projekte und ist so komplex angepasst, dass sie nicht erkannt wird.
Sobald GhostContainer erfolgreich auf einem System installiert ist, können Hacker problemlos die vollständige Kontrolle über den Exchange-Server übernehmen und von dort aus eine Reihe gefährlicher Aktionen ausführen, ohne dass der Benutzer davon Kenntnis erhält. Die Schadsoftware ist geschickt als gültige Serverkomponente getarnt und nutzt zahlreiche Überwachungstechniken, um der Erkennung durch Antivirensoftware zu entgehen und Sicherheitsüberwachungssysteme zu umgehen.
Darüber hinaus kann diese Malware als Proxy-Server oder verschlüsselter Tunnel fungieren und so Hackern Schlupflöcher schaffen, um in interne Systeme einzudringen oder vertrauliche Informationen zu stehlen. Angesichts dieser Vorgehensweise vermuten Experten, dass der Hauptzweck dieser Kampagne Cyberspionage sein dürfte.
„Unsere eingehende Analyse zeigt, dass die Täter über große Erfahrung darin verfügen, in Microsoft Exchange-Serversysteme einzudringen. Sie nutzen eine Vielzahl von Open-Source-Tools, um in IIS- und Exchange- Umgebungen einzudringen, und entwickeln ausgeklügelte Spionagetools auf Basis von verfügbarem Open-Source-Code. Wir werden die Aktivitäten der Gruppe sowie Umfang und Schwere ihrer Angriffe weiterhin beobachten, um die allgemeine Bedrohungslage besser zu verstehen“, sagte Sergey Lozhkin, Leiter des Global Research and Analysis Team (GReAT) für den asiatisch-pazifischen Raum sowie den Nahen Osten und Afrika bei Kaspersky.
GhostContainer verwendet Code aus mehreren Open-Source-Projekten und ist daher weltweit für Cyberkriminelle oder APT-Kampagnen anfällig. Bemerkenswert ist, dass bis Ende 2024 insgesamt 14.000 Malware-Pakete in Open-Source-Projekten entdeckt wurden, 48 % mehr als Ende 2023. Diese Zahl zeigt, dass das Risiko in diesem Bereich steigt.
Quelle: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Foto] Generalsekretär To Lam überreicht der Vietnam National Energy and Industry Group die First Class Labor Medal](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/21/0ad2d50e1c274a55a3736500c5f262e5)
![[Foto] Generalsekretär To Lam nimmt am 50. Jahrestag der Gründung der Vietnam National Industry and Energy Group teil](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/21/bb0920727d8f437887016d196b350dbf)
Kommentar (0)