Kaspersky ontdekt GhostContainer backdoor die Microsoft Exchange Servers treft
Kaspersky's Global Research and Analysis Team (GReAT) heeft een geavanceerde nieuwe backdoor ontdekt, genaamd 'GhostContainer', die gericht is op Microsoft Exchange servers, voornamelijk binnen overheidsomgevingen in Azië. Deze eerder onbekende malware werd blootgelegd tijdens een incidentrespons en wordt vermoed onderdeel te zijn van een Advanced Persistent Threat (APT)-campagne tegen waardevolle entiteiten, waaronder high-tech bedrijven.
De malware, gedetecteerd als App_Web_Container_1.dll, is een multifunctionele backdoor die open-source tools misbruikt en dynamisch kan worden uitgebreid met extra functionaliteit. Eenmaal geladen, geeft het aanvallers volledige controle over de Exchange-server, waardoor diverse kwaadaardige activiteiten mogelijk zijn. Om detectie te omzeilen, camoufleert GhostContainer zich als een legitieme servercomponent en kan het fungeren als een proxy of tunnel, wat interne netwerken kwetsbaar maakt voor externe bedreigingen en data-exfiltratie vergemakkelijkt. Cyberespionage wordt dan ook vermoed als het doel van de campagne.
Sergey Lozhkin, hoofd van GReAT APAC & META, merkt op dat de aanvallers zeer bekwaam zijn in het exploiteren van Exchange-systemen en het benutten van open-source projecten voor spionagetools. Hoewel de dadergroep nog onbekend is, benadrukt Kaspersky de groeiende dreiging van kwaadaardige pakketten in open-source projecten, die eind 2024 met 48% zijn toegenomen.
Kaspersky adviseert organisaties om hun SOC-teams toegang te geven tot de nieuwste dreigingsinformatie, cybersecurityteams bij te scholen, EDR-oplossingen te implementeren, en beveiligingsbewustzijnstrainingen aan te bieden om zich te wapenen tegen dergelijke gerichte aanvallen.
