Los especialistas de Kaspersky descubrieron un nuevo software malicioso durante la investigación de uno de los incidentes relacionados con ataques a la infraestructura de Exchange en el sector público. Prestaron atención al archivo App_Web_Container_1.dll. Resultó ser un backdoor complejo y multifuncional, basado en varios proyectos de código abierto. El software malicioso es capaz de expandirse dinámicamente y obtener nuevas funcionalidades mediante la carga de módulos adicionales.
La instalación del backdoor otorga a los atacantes un control total sobre el servidor Exchange, lo que les abre grandes oportunidades para actividades ilegítimas adicionales. Al mismo tiempo, el malware utiliza diferentes métodos para evitar la detección por parte de las herramientas de protección y se disfraza como un componente del servidor para perderse entre las operaciones estándar. El backdoor puede actuar como un servidor proxy o túnel, lo que expone a toda la red interna de la empresa a amenazas externas, y también crea un riesgo de fuga de datos confidenciales.
El director de Kaspersky GReAT en las regiones de APAC y META, Sergey Lozhkin, dijo:
Nuestra investigación ha demostrado que los atacantes están bien preparados técnicamente: entienden las vulnerabilidades de los sistemas Exchange y saben cómo crear y mejorar herramientas complejas para el espionaje basadas en código de acceso público. Aunque los primeros incidentes se registraron en Asia, existe la posibilidad de que los atacantes puedan utilizar el malware descubierto también en otras regiones.