Специалисты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» обнаружили ранее неизвестный бэкдор GhostContainer, способный полностью контролировать серверы Microsoft Exchange. По информации исследователей, вредоносная программа может быть частью таргетированной шпионской кампании, ориентированной на крупные организации в Азиатском регионе, включая технологические компании и госструктуры.
Вредонос был выявлен в ходе анализа одного из инцидентов, связанного с атакой на государственную инфраструктуру. Исследователи обратили внимание на файл с именем App_Web_Container_1.dll, который оказался сложным и модульным бэкдором, разработанным на базе открытых программных решений. По данным «Лаборатории Касперского», GhostContainer способен загружать дополнительные модули, расширяющие его функциональность и позволяющие оперативно адаптироваться под задачи злоумышленников.
Установка этого ПО даёт атакующим полный контроль над сервером Exchange — злоумышленники могут использовать его как точку входа в инфраструктуру организации, запускать туннелирование, действовать в роли прокси-сервера и обеспечивать себе стабильный канал связи без обнаружения. Маскировка под штатный компонент Exchange делает обнаружение вредоноса особенно затруднительным — он интегрируется в системные процессы, не вызывая подозрений со стороны стандартных средств защиты.
Как подчеркнул Сергей Ложкин, руководитель регионального направления GReAT в странах APAC и МЕТА, анализ показал, что за атакой стоят технически грамотные исполнители, хорошо разбирающиеся в архитектуре Exchange и методах обхода безопасности. Он отметил, что, несмотря на текущую географическую привязку инцидентов к странам Азии, угроза имеет все предпосылки для дальнейшего распространения.
На текущий момент исследователи не связывают GhostContainer с какой-либо из известных группировок. Тем не менее, работа по мониторингу активности продолжается, чтобы понять, каковы долгосрочные цели операторов вредоноса и как может измениться масштаб угрозы.