Das GReAT-Team entdeckte die Malware im Rahmen von Incident-Response-Maßnahmen auf Regierungssystemen , die Microsoft Exchange nutzten. GhostContainer ist vermutlich Teil einer ausgeklügelten und hartnäckigen APT-Kampagne (Advanced Persistent Threat), die sich gegen wichtige Organisationen in Asien richtet, darunter auch große Technologieunternehmen.
Die von Kaspersky entdeckte Schaddatei App_Web_Container_1.dll ist eine multifunktionale Backdoor, die durch den Remote-Download zusätzlicher Module erweitert werden kann. Die Malware nutzt zahlreiche Open-Source-Projekte und ist so komplex angepasst, dass sie nicht erkannt wird.
Sobald GhostContainer erfolgreich auf einem System installiert ist, können Hacker problemlos die vollständige Kontrolle über den Exchange-Server erlangen und von dort aus ohne Wissen des Benutzers eine Reihe gefährlicher Aktionen ausführen. Die Schadsoftware ist geschickt als gültige Serverkomponente getarnt und nutzt zahlreiche Überwachungstechniken, um der Erkennung durch Antivirensoftware zu entgehen und Sicherheitsüberwachungssysteme zu umgehen.
Darüber hinaus kann diese Malware als Zwischenserver (Proxy) oder verschlüsselter Tunnel (Tunnel) fungieren und so Hackern Schlupflöcher für das Eindringen in interne Systeme oder den Diebstahl vertraulicher Informationen bieten. Angesichts dieser Vorgehensweise vermuten Experten, dass der Hauptzweck dieser Kampagne höchstwahrscheinlich Cyberspionage ist.
„Unsere eingehende Analyse zeigt, dass die Täter über große Erfahrung im Eindringen in Microsoft Exchange-Server verfügen. Sie nutzen eine Vielzahl von Open-Source-Tools, um in IIS- und Exchange- Umgebungen einzudringen, und haben auf Basis von verfügbarem Open-Source-Code ausgeklügelte Spionagetools entwickelt. Wir werden die Aktivitäten der Gruppe sowie Umfang und Schwere ihrer Angriffe weiterhin beobachten, um die allgemeine Bedrohungslage besser zu verstehen“, sagte Sergey Lozhkin, Leiter des Global Research and Analysis Team (GReAT) für den asiatisch-pazifischen Raum, den Nahen Osten und Afrika bei Kaspersky.
GhostContainer verwendet Code aus mehreren Open-Source-Projekten und ist daher weltweit äußerst anfällig für Cyberkriminelle oder APT-Kampagnen. Bemerkenswert ist, dass bis Ende 2024 insgesamt 14.000 Malware-Pakete in Open-Source-Projekten entdeckt wurden – ein Anstieg von 48 % gegenüber Ende 2023. Diese Zahl zeigt, dass das Risiko in diesem Bereich steigt.
Quelle: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
Kommentar (0)