Scoperta la nuova backdoor GhostContainer che minaccia le istanze Exchange delle aziende asiatiche

Gli specialisti di Kaspersky Lab hanno scoperto una nuova backdoor e si chiama GhostContainer, basata su strumenti open source. I ricercatori ritengono che la comparsa di questo malware possa essere parte di una sofisticata campagna mirata rivolta a grandi organizzazioni in Asia, comprese le imprese high-tech. Presumibilmente, l’obiettivo degli aggressori è lo spionaggio informatico.

Il malware è stato scoperto in risposta a un incidente che ha coinvolto attacchi all’infrastruttura di Exchange nel settore pubblico. I ricercatori si sono concentrati sul file App_Web_Container_1.dll, che si è rivelato essere una backdoor multifunzionale complessa basata su diversi progetti open source. Il malware è in grado di espandersi dinamicamente e di acquisire nuove funzionalità caricando moduli aggiuntivi.

L’installazione di una backdoor conferisce agli aggressori il pieno controllo del server Exchange, aprendo numerose opportunità per ulteriori attività dannose. Il malware utilizza diversi metodi per eludere il rilevamento e si maschera da componente server per confondersi con le operazioni standard.

La backdoor può fungere da server proxy o tunnel, il che, secondo gli esperti, espone l’intera rete interna dell’azienda a minacce esterne e crea anche il rischio di fuga di dati riservati.

“La nostra ricerca ha dimostrato che gli aggressori sono tecnicamente molto competenti: comprendono le vulnerabilità dei sistemi Exchange e sono in grado di creare e migliorare strumenti complessi per lo spionaggio basati su codice pubblicamente disponibile”.

Inoltre Kaspersky ha aggiunto “Sebbene i primi incidenti siano stati registrati in Asia, esiste la possibilità che gli aggressori possano utilizzare il malware scoperto in altre regioni. Sebbene al momento non ci siano informazioni sufficienti per attribuire GhostContainer a un gruppo noto, continueremo a monitorare l’attività della backdoor per comprendere meglio il panorama delle minacce informatiche”, commenta Sergey Lozhkin, responsabile del GReAT per le regioni APAC e META.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.