GhostContainer: Kaspersky identifica un nou backdoor care vizeaza serverele Microsoft Exchange

Echipa Global Research and Analysis Team a Kaspersky a descoperit un nou backdoor bazat pe instrumente open-source, denumit GhostContainer, potrivit unui comunicat emis redacţiei. Acest malware necunoscut anterior, extrem de personalizat, a fost identificat in timpul unui caz de raspuns la incidente (Incident Response - IR), vizand infrastructura Exchange din mediile guvernamentale. Se suspecteaza ca malware-ul face parte dintr-o campanie de tip APT (advanced persistent threat) care vizeaza entitati de mare valoare din Asia, inclusiv companii din domeniul high-tech.

Fisierul detectat de Kaspersky ca App_Web_Container_1.dll s-a dovedit a fi un backdoor sofisticat, multifunctional, care utilizeaza mai multe proiecte open-source si care poate fi extins dinamic cu functionalitati suplimentare prin descarcarea de module aditionale.

Potrivit sursei, odata incarcat, acesta ofera atacatorilor control complet asupra serverului Exchange, permitand o gama larga de activitati malitioase. Pentru a evita detectarea de catre solutiile de securitate, foloseste mai multe tehnici de evitare si se prezinta ca o componenta legitima a serverului, integrandu-se in operatiunile normale. In plus, poate actiona ca proxy sau tunnel, expunand potential reteaua interna la amenintari externe sau facilitand exfiltrarea de date sensibile din sistemele interne. Prin urmare, se suspecteaza ca scopul campaniei este spionajul cibernetic.

In acest moment, nu este posibila atribuirea lui GhostContainer vreunui grup de atacatori cunoscut, deoarece acestia nu si-au expus infrastructura. Malware-ul include cod din mai multe proiecte open-source accesibile publicului, care ar putea fi folosit de hackeri sau grupuri APT de oriunde din lume. Este de remarcat faptul ca, pana la sfarsitul lui 2024, au fost identificate in total 14.000 de pachete malitioase in proiecte open-source - o crestere de 48% comparativ cu sfarsitul anului 2023 - evidentiind astfel amenintarea tot mai mare in acest domeniu.

Raportul complet este disponibil pe Securelist.com

Pentru a evita sa deveniti victima unui atac tintit din partea unui atacator cibernetic cunoscut sau necunoscut, cercetatorii Kaspersky recomanda implementarea urmatoarelor masuri:

-Oferiti echipei SOC acces la cele mai recente informatii despre amenintari (Threat Intelligence - TI). Kaspersky Threat Intelligence este un punct unic de acces la datele si informatiile despre atacuri cibernetice colectate de Kaspersky in peste 20 de ani.

-Perfectionati-va echipa de securitate cibernetica pentru a combate cele mai recente amenintari tintite, folosind cursurile online Kaspersky dezvoltate de expertii GReAT.

-Pentru detectia la nivel de endpoint, investigatie si remediere rapida a incidentelor, implementati solutii EDR, precum Kaspersky Endpoint Detection and Response.

-Pe langa protectia esentiala la nivel endpoint, adoptati o solutie de securitate la nivel corporativ care detecteaza amenintarile avansate in retea din fazele incipiente, cum ar fi Kaspersky Anti Targeted Attack Platform.

-Deoarece multe atacuri tintite incep cu phishing sau alte tehnici de inginerie sociala, introduceti training-uri de constientizare a securitatii si invatati echipa abilitati practice - de exemplu, prin Kaspersky Automated Security Awareness Platform.