✔Бэкдор GhostContainer атакует серверы Microsoft Exchange - «Новости»

Специалисты «Лаборатории Касперского» обнаружили новый бэкдор GhostContainer, который работает на базе опенсорсных инструментов. Исследователи полагают, что появление этого вредоноса может быть частью сложной таргетированной кампании, направленной на крупные организации в Азии, включая высокотехнологичные предприятия. Предположительно, целью злоумышленников является кибершпионаж. Вредонос был обнаружен в ходе реагирования на один из инцидентов, связанных с атаками на инфраструктуру Exchange в госсекторе. Исследователи обратили внимание на файл App_Web_Container_1.dll, который оказался сложным многофункциональным бэкдором, в основе которого лежат несколько проектов с открытым исходным кодом. Малварь способна динамически расширяться и получать новую функциональность за счет загрузки дополнительных модулей. Установка бэкдора предоставляет атакующим полный контроль над сервером Exchange, что открывает большие возможности для дальнейшей вредоносной активности. При этом малварь использует разные методы, чтобы избежать обнаружения и маскируется под компонент сервера, чтобы затеряться среди стандартных операций. Бэкдор способен исполнять роль прокси-сервера или туннеля, что, по словам экспертов, подвергает внешним угрозам всю внутреннюю сеть компании, а также создает риск утечки конфиденциальных данных. «Наше исследование показало, что злоумышленники технически хорошо подкованы: они разбираются в уязвимостях систем Exchange и умеют создавать и совершенствовать сложные инструменты для шпионажа на основе общедоступного кода. Хотя первые инциденты зафиксированы в Азии, есть вероятность, что атакующие могут использовать обнаруженный вредонос и в других регионах. Хотя на данный момент недостаточно информации, чтобы отнести GhostContainer к какой-либо известной группе, мы продолжим наблюдать за активностью бэкдора, чтобы лучше понимать ландшафт киберугроз», — комментирует Сергей Ложкин, руководитель GReAT в регионах APAC и META.