El equipo de GReAT descubrió el malware durante operaciones de respuesta a incidentes en sistemas gubernamentales que utilizan Microsoft Exchange. Se cree que GhostContainer forma parte de una sofisticada y persistente campaña de amenazas persistentes avanzadas (APT) dirigida a organizaciones clave de la región asiática, incluidas importantes empresas tecnológicas.
El archivo malicioso descubierto por Kaspersky, llamado App_Web_Container_1.dll, es en realidad una puerta trasera multifuncional que puede ampliarse mediante la descarga remota de módulos adicionales. El malware se aprovecha de numerosos proyectos de código abierto y está sofisticadamente personalizado para evitar su detección.
Una vez instalado GhostContainer en un sistema, los hackers pueden tomar fácilmente el control total del servidor Exchange, desde donde pueden realizar diversas acciones peligrosas sin que el usuario lo sepa. Este malware se disfraza astutamente como un componente válido del servidor y utiliza diversas técnicas de evasión de vigilancia para evitar ser detectado por el software antivirus y eludir los sistemas de monitorización de seguridad.
Además, este malware puede actuar como un servidor proxy o un túnel cifrado, creando vulnerabilidades que permiten a los hackers penetrar en sistemas internos o robar información confidencial. Al observar este modo de operación, los expertos sospechan que el objetivo principal de esta campaña probablemente sea el ciberespionaje.
Nuestro análisis exhaustivo demuestra que los autores son muy hábiles para penetrar en los sistemas de servidores Microsoft Exchange. Utilizan diversas herramientas de código abierto para penetrar en entornos IIS y Exchange , y desarrollan sofisticadas herramientas de espionaje basadas en código abierto disponible. Seguiremos monitoreando las actividades del grupo, así como el alcance y la gravedad de sus ataques, para comprender mejor el panorama general de las amenazas, declaró Sergey Lozhkin, director del Equipo Global de Investigación y Análisis (GReAT) para Asia Pacífico, Oriente Medio y África de Kaspersky.
GhostContainer utiliza código de múltiples proyectos de código abierto, lo que lo hace totalmente vulnerable a grupos cibercriminales o campañas APT en cualquier parte del mundo . Cabe destacar que, a finales de 2024, se detectaron un total de 14 000 paquetes de malware en proyectos de código abierto, un 48 % más que a finales de 2023. Esta cifra demuestra que el nivel de riesgo está aumentando en este campo.
Fuente: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Foto] El Jardín Secreto aparecerá en el proyecto "Buenos Días Vietnam 2025" del periódico Nhan Dan.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/19/cec307f0cfdd4836b1b36954efe35a79)
![[Foto] Parteras de tortugas marinas](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/19/9547200fdcea40bca323e59652c1d07e)
![[Foto] Difundiendo la cultura vietnamita a los niños rusos](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/19/0c3a3a23fc544b9c9b67f4e243f1e165)
![[Foto] El presidente de la Asamblea Nacional, Tran Thanh Man, mantiene conversaciones con el presidente de la Cámara de Representantes de Malasia.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/19/5cb954e3276c4c1587968acb4999262e)
Kommentar (0)