Глобальный центр исследований и анализа угроз «Лаборатории Касперского» обнаружил новое ПО для скрытого дистанционного управления заражённым устройством. Бэкдор GhostContainer работает на основе инструментов с открытым исходным кодом. Предположительно, цель злоумышленников — кибершпионаж.
Специалисты «Лаборатории» обнаружили новое вредоносное ПО в ходе расследования одного из инцидентов, связанных с атаками на инфраструктуру Exchange в госсекторе. Они обратили внимание на файл App_Web_Container_1.dll. Выяснилось, что это сложный многофункциональный бэкдор, в основе которого лежат несколько проектов с открытым исходным кодом. Вредоносное ПО способно динамически расширяться и получать новую функциональность за счёт загрузки дополнительных модулей.
Установка бэкдора даёт атакующим полный контроль над сервером Exchange, что открывает для них большие возможности для дальнейшей нелегитимной активности. При этом зловред использует разные методы, чтобы избежать обнаружения защитными средствами, и маскируется под компонент сервера, чтобы затеряться среди стандартных операций. Бэкдор может выполнять роль прокси-сервера или туннеля, что подвергает внешним угрозам всю внутреннюю сеть компании, а также создаёт риск утечки конфиденциальных данных.
Руководитель Kaspersky GReAT в регионах APAC и МЕТА Сергей Ложкин рассказал:
Наше исследование показало, что злоумышленники технически хорошо подкованы: они разбираются в уязвимостях систем Exchange и умеют создавать и совершенствовать сложные инструменты для шпионажа на основе общедоступного кода. Хотя первые инциденты зафиксированы в Азии, есть вероятность, что атакующие могут использовать обнаруженный вредонос и в других регионах.
