El equipo de GReAT descubrió el malware durante las tareas de respuesta a incidentes en sistemas gubernamentales que utilizaban Microsoft Exchange. Se cree que GhostContainer forma parte de una sofisticada y persistente campaña de amenazas persistentes avanzadas (APT) dirigida a organizaciones clave de la región asiática, incluidas importantes empresas tecnológicas.
El archivo malicioso descubierto por Kaspersky, llamado App_Web_Container_1.dll, es en realidad una puerta trasera multifuncional que puede ampliarse mediante la descarga remota de módulos adicionales. El malware se aprovecha de numerosos proyectos de código abierto y está sofisticadamente personalizado para evitar su detección.
Una vez instalado GhostContainer en un sistema, los hackers pueden obtener fácilmente el control total del servidor Exchange, desde donde pueden realizar diversas acciones peligrosas sin el conocimiento del usuario. Este malware se disfraza astutamente como un componente válido del servidor y utiliza diversas técnicas de evasión de la vigilancia para evitar ser detectado por el software antivirus y eludir los sistemas de monitorización de seguridad.
Además, este malware puede actuar como servidor intermediario (proxy) o túnel cifrado (túnel), creando vulnerabilidades que permiten a los hackers penetrar en sistemas internos o robar información confidencial. Considerando esta forma de operar, los expertos sospechan que el objetivo principal de esta campaña es probablemente el ciberespionaje.
Nuestro análisis exhaustivo demuestra que los autores son muy hábiles para penetrar servidores Microsoft Exchange. Utilizan diversas herramientas de código abierto para penetrar en entornos IIS y Exchange , y han desarrollado sofisticadas herramientas de espionaje basadas en código abierto disponible. Seguiremos monitoreando las actividades del grupo, así como el alcance y la gravedad de sus ataques, para comprender mejor el panorama general de amenazas, declaró Sergey Lozhkin, director del Equipo Global de Investigación y Análisis (GReAT) para Asia Pacífico, Oriente Medio y África de Kaspersky.
GhostContainer utiliza código de múltiples proyectos de código abierto, lo que lo hace altamente vulnerable a grupos cibercriminales o campañas APT en cualquier parte del mundo . Cabe destacar que, a finales de 2024, se detectaron un total de 14 000 paquetes de malware en proyectos de código abierto, un 48 % más que a finales de 2023. Esta cifra demuestra que el nivel de riesgo está aumentando en este campo.
Fuente: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
Kommentar (0)