I ricercatori di Kaspersky hanno scoperto una nuova backdoor per Microsoft Exchange durante un intervento presso un cliente. Il malware, denominato GhostContainer, sfrutta alcuni progetti open source e possono essere aggiunti moduli per altre funzionalità. Al momento, i bersagli dei cybercriminali sono aziende che operano in Asia, ma la minaccia potrebbe estendersi in tutto il mondo.
Descrizione della backdoor
Analizzando file e log del server Exchange, gli esperti del Global Research and Analysis Team (GReAT) di Kaspersky hanno trovato il file App_Web_Container_1.dll. Non è una DLL, ma una backdoor che, quando caricata in memoria, esegue i comandi ricevuti dai cybercriminali.
GhostContainer permette di prendere il controllo del server ed eseguire diverse attività, tra cui esecuzione di comandi remoti, caricamento di codice .NET e download di file. I ricercatori di Kaspersky ipotizzano che il server sia stato compromesso sfruttando la vulnerabilità CVE-2020-0688. Microsoft ha rilasciato la patch oltre cinque anni fa, ma non è stata installata.
Le funzionalità della backdoor possono essere estese dinamicamente tramite il download di moduli aggiuntivi. Per aggirare il rilevamento da parte dei prodotti di sicurezza vengono utilizzate diverse tecniche di elusione. Può camuffarsi da componente server comune e funzionare come proxy o tunnel, esponendo la rete interna a minacce esterne e facilitando l’esfiltrazione di dati sensibili.
In base ai dati della telemetria, Kaspersky ipotizza che il malware viene sfruttato durante una campagna rivolta a target di alto valore in Asia. Finora sono state individuate due vittime, un’azienda high tech e un’agenzia governativa.
Non sono stati scoperti gli autori degli attacchi perché GhostContainer non stabilisce una connessione con server C2 (command and control). I cybercriminali si connettono al server compromesso dall’esterno e i comandi sono nascosti all’interno di normali richieste web di Exchange. Per questo motivo non sono stati identificati indirizzi IP o domini.
