Die hochgradig angepasste Schadsoftware wurde während einer Incident-Response-Untersuchung gefunden, zielt auf die Microsoft-Exchange-Infrastruktur in Regierungsumgebungen ab und könnte Teil einer APT-Kampagne (Advanced Persistent Threat) sein. [...]
Das Global Research and Analysis Team von Kaspersky hat ein bislang unbekanntes Backdoor entdeckt, das den Namen „GhostContainer“ trägt. GhostContainer wurde als „App_Web_Container_1.dll“ entdeckt. Es handelt sich dabei um ein hochentwickeltes, multifunktionales Backdoor, das mehrere Open-Source-Projekte nutzt und durch den Download zusätzlicher Module dynamisch um weitere Funktionen erweitert werden kann.
Über das Backdoor erhalten Angreifer die vollständige Kontrolle über den Exchange-Server und können so eine Vielzahl schädlicher Aktivitäten durchführen. Um der Erkennung durch Sicherheitslösungen zu entgehen, nutzt GhostContainer verschiedene Ausweichtechniken und tarnt sich als legitime Serverkomponente, um sich nahtlos in den normalen Betrieb einzufügen. Darüber hinaus kann die Schadsoftware als Proxy oder Tunnel fungieren und so das interne Netzwerk externen Bedrohungen aussetzen oder die Exfiltration sensibler Daten aus internen Systemen erleichtern. Daher vermuten die Kaspersky-Experten Cyberspionage als Ziel der Kampagne.
Cyberspionage als Ziel der Kampagne
Derzeit ist es noch nicht möglich, GhostContainer einer bekannten Bedrohungsgruppe zuzuordnen, da die Angreifer keine Infrastruktur offengelegt haben. Die Malware enthält jedoch Code aus mehreren öffentlich zugänglichen Open-Source-Projekten, die von Hackern oder APT-Gruppen weltweit genutzt werden könnten. Bis Ende 2024 wurden insgesamt 14.000 schädliche Pakete in Open-Source-Projekten identifiziert – dies entspricht einem Anstieg von 48 Prozent gegenüber dem Vorjahreszeitraum und verdeutlicht die wachsende Bedrohung in diesem Bereich.
„Unsere umfassende Analyse zeigt, dass die Angreifer über hohe Kompetenzen verfügen, Exchange-Systeme auszunutzen und verschiedene Open-Source-Projekte zur Infiltration von IIS- und Exchange-Umgebungen zu nutzen“, sagt Sergey Lozhkin, Head of GReAT APAC & META bei Kaspersky. „Darüber hinaus entwickeln und verbessern sie komplexe Spionagetools auf Basis öffentlich verfügbarer Codes. Wir werden ihre Aktivitäten sowie den Umfang und das Ausmaß dieser Angriffe weiterhin beobachten, um die Bedrohungslandschaft besser zu verstehen.“
Empfehlungen zum Schutz vor GhostContainer
- Das SOC-Team sollte Zugriff auf die neuesten Bedrohungsdaten (Threat Intelligence) haben.
- Cybersicherheitsteams weiterbilden, um sie auf den neuesten Stand bezüglich gezielter Bedrohungen zu bringen.
- Alle Mitarbeiter regelmäßig zu Cyberbedrohungen schulen und Sicherheitsbewusstsein sowie praktische Fähigkeiten vermitteln, da viele gezielte Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen.
- Der Einsatz von EDR-Lösungen wie Kaspersky Endpoint Detection and Response ermöglicht es, sicherheitsrelevante Vorfälle auf Endpunktebene zu erkennen, zu analysieren und zügig zu beheben.
- Eine unternehmensweite Sicherheitslösung implementieren, die fortgeschrittene Bedrohungen bereits auf Netzwerkebene identifiziert.
Be the first to comment