Un nouveau malware GhostContainer s'attaque aux serveurs MS Exchange de grande valeur en Asie

Les chercheurs en cybersécurité de SecureList, l'unité de recherche de Kaspersky, ont révélé un nouveau malware hautement personnalisé, baptisé GhostContainer. Cette porte dérobée sophistiquée cible activement les serveurs Microsoft Exchange d'organisations de grande valeur en Asie, offrant aux attaquants un contrôle étendu sur les systèmes compromis et permettant diverses activités malveillantes, notamment l'exfiltration potentielle de données.

GhostContainer est une porte dérobée multifonctionnelle conçue pour échapper à la détection en imitant les composants serveur standard. Elle est fournie sous la forme d'un fichier nommé « App_Web_Container_1.dll » et pèse 32,8 Ko. Ses fonctionnalités principales sont étendues grâce à des modules téléchargeables supplémentaires. Les chercheurs indiquent que les attaquants ont probablement exploité une vulnérabilité connue et non corrigée ( vulnérabilité N-day ) des serveurs Exchange pour obtenir un accès initial.

Un composant clé de GhostContainer est la classe « Stub », qui agit comme un analyseur de commandes et de contrôle (C2). Elle peut exécuter du shellcode, télécharger des fichiers, exécuter des commandes et charger du bytecode .NET supplémentaire. Plus précisément, la classe Stub tente de contourner l'interface d'analyse anti-programme malveillant (AMSI) et le journal des événements Windows en écrasant des adresses spécifiques, ce qui renforce encore sa furtivité.

Les chercheurs ont constaté que les données transférées entre les attaquants et le serveur sont protégées par un chiffrement AES, la clé étant dérivée de la clé de validation ASP.NET. Le logiciel malveillant permet notamment d'obtenir l'architecture du système, d'exécuter du code shell, d'exécuter des lignes de commande et de gérer des fichiers.

GhostContainer inclut également une classe « injecteur de pages virtuelles » ( App_Web_843e75cf5b63 ) qui crée des pages fantômes pour contourner les vérifications de fichiers et charger un chargeur de réflexion .NET. Ce chargeur active ensuite la classe proxy web ( App_Web_8c9b251fb5b3 ), un élément central du malware. Ce composant proxy web possède des fonctionnalités de proxy web, de transfert de socket et de communication secrète.

L'enquête de SecureList a également révélé que les attaquants ont exploité plusieurs projets open source pour créer GhostContainer. Par exemple, la classe Stub semble être basée sur ExchangeCmdPy.py , un outil open source permettant d'exploiter la vulnérabilité Exchange CVE-2020-0688.

De même, l'injecteur de pages virtuelles utilise le code de « PageLoad_ghostfile.aspx », et le composant proxy web est une version personnalisée de « Neo-reGeorg », un autre projet open source. Cette combinaison d'outils publics et de modifications personnalisées met en évidence les compétences avancées des attaquants.

Les données télémétriques recueillies par les chercheurs suggèrent que GhostContainer fait partie d'une campagne de menaces persistantes avancées (APT). Parmi les victimes identifiées à ce jour figurent une agence gouvernementale clé et une entreprise de haute technologie, toutes deux situées en Asie.

Les attaquants ne s'appuient pas sur une infrastructure C2 traditionnelle ; ils contrôlent le serveur compromis en intégrant des commandes dans des requêtes web Exchange classiques. Cette approche complique l'identification de leurs adresses IP ou domaines spécifiques.

L'enquête sur l'ampleur de ces attaques est en cours. En attendant, les organisations doivent agir rapidement et appliquer immédiatement toutes les mises à jour et correctifs de sécurité disponibles pour les serveurs Exchange et autres logiciels afin de corriger les vulnérabilités connues.