IT-Notfall

Backdoor für Microsoft Exchange Server entdeckt

Kaspersky Labs GmbH Kaspersky Labs GmbH   |
  • Awareness, Malware, Threat-Intelligence
  • Experte
Backdoor für Microsoft Exchange Server entdeckt.

Backdoor für Microsoft Exchange Server entdeckt.

 Das Global Research and Analysis Team (GReAT) von Kaspersky hat eine bislang unbekannte Backdoor entdeckt, die mithilfe von Open-Source-Tools entwickelt wurde und den Namen ‚GhostContainer‘ trägt.

Die hochgradig angepasste Schadsoftware wurde während einer Incident-Response-Untersuchung aufgefunden, zielt auf die Microsoft-Exchange-Infrastruktur in Regierungsumgebungen ab und könnte Teil einer Advanced Persistent Threat (APT)-Kampagne sein. GhostContainer wurde als App_Web_Container_1.dll entdeckt. Es handelt sich dabei um eine hochentwickelte, multifunktionale Backdoor, die mehrere Open-Source-Projekte nutzt und durch den Download zusätzlicher Module dynamisch um weitere Funktionen erweitert werden kann.

Über die Backdoor erhalten Angreifer die vollständige Kontrolle über den Exchange-Server und können so eine Vielzahl schädlicher Aktivitäten durchführen. Um der Erkennung durch Sicherheitslösungen zu entgehen, nutzt GhostContainer verschiedene Ausweichtechniken und tarnt sich als legitime Serverkomponente, um sich nahtlos in den normalen Betrieb einzufügen. Darüber hinaus kann sie als Proxy oder Tunnel fungieren und so das interne Netzwerk externen Bedrohungen aussetzen oder die Exfiltration sensibler Daten aus internen Systemen erleichtern. Daher vermuten die Kaspersky-Experten Cyberspionage als Ziel der Kampagne.

Derzeit ist es noch nicht möglich, GhostContainer einer bekannten Bedrohungsgruppe zuzuordnen, da die Angreifer keine Infrastruktur offengelegt haben. Die Malware enthält jedoch Code aus mehreren öffentlich zugänglichen Open-Source-Projekten, die von Hackern oder APT-Gruppen weltweit genutzt werden könnten. Bis Ende 2024 wurden insgesamt 14.000 schädliche Pakete in Open-Source-Projekten identifiziert; dies entspricht einem Anstieg von 48 Prozent gegenüber dem Vorjahreszeitraum und verdeutlicht die wachsende Bedrohung in diesem Bereich.

„Unsere umfassende Analyse zeigt, dass die Angreifer über hohe Kompetenzen verfügen, Exchange-Systeme auszunutzen und verschiedene Open-Source-Projekte zur Infiltration von IIS- und Exchange-Umgebungen zu nutzen“, so Sergey Lozhkin, Head of GReAT APAC & META bei Kaspersky. „Darüber hinaus entwickeln und verbessern sie komplexe Spionagetools auf Basis öffentlich verfügbarer Codes. Wir werden ihre Aktivitäten sowie den Umfang und das Ausmaß dieser Angriffe weiterhin beobachten, um die Bedrohungslandschaft besser zu verstehen.“

 Empfehlungen zum Schutz vor GhostContainer-Backdoor

  • Das SOC-Team sollte Zugriff auf die neuesten Bedrohungsdaten (Threat Intelligence, TI) haben.
  • Cybersicherheitsteams mit Online-Schulungen weiterbilden, um sie auf den neuesten Stand bezüglich gezielter Bedrohungen zu bringen.
  • Alle Mitarbeiter regelmäßig zu Cyberbedrohungen schulen und Sicherheitsbewusstsein sowie praktische Fähigkeiten vermitteln.
  • Der Einsatz von EDR-Lösungen ermöglicht es, sicherheitsrelevante Vorfälle auf Endpunktebene zu erkennen, zu analysieren und zügig zu beheben.
  • Eine unternehmensweite Sicherheitslösung  implementieren, die fortgeschrittene Bedrohungen bereits auf Netzwerkebene identifiziert.
Zurück zu allen News

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
Skip to content