Das GReAT-Team entdeckte die Schadsoftware im Rahmen von Incident-Response-Maßnahmen auf Regierungssystemen , die Microsoft Exchange nutzten. GhostContainer ist vermutlich Teil einer ausgeklügelten und hartnäckigen APT-Kampagne (Advanced Persistent Threat), die sich gegen wichtige Organisationen in Asien richtet, darunter auch große Technologieunternehmen.
Die von Kaspersky entdeckte Schaddatei App_Web_Container_1.dll ist eine multifunktionale Backdoor, die durch den Remote-Download zusätzlicher Module erweitert werden kann. Die Malware nutzt zahlreiche Open-Source-Projekte und ist so komplex angepasst, dass sie nicht erkannt wird.
Sobald GhostContainer erfolgreich auf einem System installiert ist, können Hacker problemlos die vollständige Kontrolle über den Exchange-Server erlangen und von dort aus ohne Wissen des Benutzers eine Reihe gefährlicher Aktionen ausführen. Diese Schadsoftware ist geschickt als gültige Serverkomponente getarnt und nutzt zahlreiche Überwachungstechniken, um der Erkennung durch Antivirensoftware zu entgehen und Sicherheitsüberwachungssysteme zu umgehen.
Darüber hinaus kann diese Malware als Zwischenserver (Proxy) oder verschlüsselter Tunnel (Tunnel) fungieren und so Schlupflöcher für Hacker schaffen, die in interne Systeme eindringen oder vertrauliche Informationen stehlen können. Angesichts dieser Vorgehensweise vermuten Experten, dass der Hauptzweck dieser Kampagne höchstwahrscheinlich Cyberspionage ist.
„Unsere eingehende Analyse zeigt, dass die Täter über große Erfahrung im Eindringen in Microsoft Exchange-Server verfügen. Sie nutzen eine Vielzahl von Open-Source-Tools, um in IIS- und Exchange- Umgebungen einzudringen, und haben ausgeklügelte Spionagetools auf Basis von verfügbarem Open-Source-Code entwickelt. Wir werden die Aktivitäten der Gruppe sowie Umfang und Schwere ihrer Angriffe weiterhin beobachten, um die allgemeine Bedrohungslandschaft besser zu verstehen“, sagte Sergey Lozhkin, Leiter des Global Research and Analysis Team (GReAT) für den asiatisch-pazifischen Raum sowie den Nahen Osten und Afrika bei Kaspersky.
GhostContainer verwendet Code aus mehreren Open-Source-Projekten und ist daher weltweit äußerst anfällig für Cyberkriminelle oder APT-Kampagnen. Bemerkenswert ist, dass bis Ende 2024 insgesamt 14.000 Malware-Pakete in Open-Source-Projekten entdeckt wurden, 48 % mehr als Ende 2023. Diese Zahl zeigt, dass das Risiko in diesem Bereich steigt.
Quelle: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Foto] Ein Phu-Kreuzungsprojekt, das die Schnellstraße Ho-Chi-Minh-Stadt-Long Thanh-Dau Giay verbindet, liegt hinter dem Zeitplan](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/8/21/1ad80e9dd8944150bb72e6c49ecc7e08)
![[Foto] Das Politbüro arbeitet mit dem Ständigen Ausschuss des Parteikomitees von Hanoi und dem Parteikomitee von Ho-Chi-Minh-Stadt zusammen](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/8/21/4f3460337a6045e7847d50d38704355d)
Kommentar (0)