Зловред-призрак: новый бэкдор атакует серверы Microsoft Exchange

Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружили новый бэкдор GhostContainer (ПО для скрытого дистанционного управления заражённым устройством), который работает на основе инструментов с открытым исходным кодом. Появление этого вредоноса может быть частью сложной таргетированной кампании, направленной на крупные организации в Азии, в том числе высокотехнологичные предприятия. Предположительно, цель злоумышленников — кибершпионаж.

Специалисты «Лаборатории Касперского» обнаружили новый вредонос в ходе реагирования на один из инцидентов, связанных с атаками на инфраструктуру Exchange в госсекторе. Они обратили внимание на файл App_Web_Container_1.dll. Выяснилось, что это сложный многофункциональный бэкдор, в основе которого лежат несколько проектов с открытым исходным кодом. Вредоносное ПО способно динамически расширяться и получать новую функциональность за счёт загрузки дополнительных модулей.

Установка бэкдора даёт атакующим полный контроль над сервером Exchange, что открывает для них большие возможности для дальнейшей нелегитимной активности. При этом зловред использует разные методы, чтобы избежать обнаружения защитными средствами, и маскируется под компонент сервера, чтобы затеряться среди стандартных операций. Бэкдор может выполнять роль прокси-сервера или туннеля, что подвергает внешним угрозам всю внутреннюю сеть компании, а также создаёт риск утечки конфиденциальных данных.

«Наше исследование показало, что злоумышленники технически хорошо подкованы: они разбираются в уязвимостях систем Exchange и умеют создавать и совершенствовать сложные инструменты для шпионажа на основе общедоступного кода. Хотя первые инциденты зафиксированы в Азии, есть вероятность, что атакующие могут использовать обнаруженный вредонос и в других регионах. Хотя на данный момент недостаточно информации, чтобы отнести GhostContainer к какой-либо известной группе, мы продолжим наблюдать за активностью бэкдора, чтобы лучше понимать ландшафт киберугроз», — комментирует Сергей Ложкин, руководитель GReAT в регионах APAC и МЕТА.

На конец 2024 года по всему миру эксперты «Лаборатории Касперского» обнаружили в проектах с открытым исходным кодом 14 тысяч вредоносных пакетов, что на 48% больше по сравнению с концом 2023 года.

Чтобы укрепить защиту от сложных целевых кибератак, «Лаборатория Касперского» рекомендует:

• предоставлять SOC-командам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников (TI). Kaspersky Threat Intelligence — единая точка доступа ко всем данным о киберугрозах, накопленных экспертами «Лаборатории Касперского» более чем за 20 лет;
• регулярно повышать навыки ИБ-специалистов в борьбе со сложными целевыми атаками, например с помощью профессиональных тренингов от экспертов Kaspersky GReAT;
• использовать надёжное решение класса EDR для защиты конечных устройств, которое позволяет своевременно обнаруживать и реагировать на инциденты, такое как Kaspersky Endpoint Detection and Response;
• внедрить корпоративное решение, способное обнаруживать сложные угрозы на уровне сети на ранней стадии, например Kaspersky Anti Targeted Attack;
• регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием фишинга и других методов социальной инженерии, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform.