Nieuwe door Kaspersky ontdekte malware geeft aanvallers volledige controle over de Exchange-server en is wellicht onderdeel van een advanced persistent threat-campagne.
Kaspersky maakt bekend tijdens een incident response-zaak een nieuwe malware ontdekt te hebben, GhostContainer, die gericht is op Exchange-infrastructuur binnen overheidsomgevingen. De malware maakt mogelijk deel uit van een advanced persistent threat-campagne, vooral gericht op (hightechbedrijven in) Azië.
‘Het bestand dat Kaspersky detecteerde als App_Web_Container_1.dll bleek een geavanceerde, multifunctionele backdoor te zijn die gebruikmaakt van verschillende open-sourceprojecten en dynamisch kan worden uitgebreid met willekeurige functionaliteit via extra module-downloads,’ aldus de ontdekkers.
Nadat het is geladen, geeft het aanvallers volledige controle over de Exchange-server. Om detectie door beveiligingsoplossingen te voorkomen, presenteert GhostContainer zich als een legitieme servercomponent om zich aan te passen aan de normale bedrijfsvoering. ‘Bovendien kan het fungeren als een proxy of tunnel, waardoor het interne netwerk mogelijk wordt blootgesteld aan externe bedreigingen, en exfiltratie van gevoelige data uit interne systemen wordt vergemakkelijkt. Daarom wordt cyberspionage als doel van de campagne beschouwd,’ lichten de ontdekkers toe.
Ervaren maar nog niet geïdentificeerde hackersgroep
‘Onze diepgaande analyse heeft aangetoond dat de aanvallers zeer bedreven zijn in het misbruiken van Exchange-systemen en het benutten van diverse open-sourceprojecten die verband houden met het infiltreren van IIS- en Exchange-omgevingen, en in het ontwikkelen en verbeteren van geavanceerde spionagetools op basis van openbaar beschikbare code.’
‘Op dit moment is het niet mogelijk om GhostContainer toe te schrijven aan een bekende groep dreigingsactoren, aangezien de aanvallers geen infrastructuur hebben blootgelegd. De malware bevat code van verschillende openbaar toegankelijke opensource-projecten, die wereldwijd door hackers of APT-groepen kunnen worden gebruikt. Opvallend is dat er eind 2024 in totaal 14.000 schadelijke pakketten werden geïdentificeerd in opensource-projecten – een stijging van 48 procent ten opzichte van eind 2023 – wat de groeiende dreiging op dit gebied onderstreept,’ zegt het bedrijf.
