Nieuwe GhostContainer-malware treft waardevolle MS Exchange-servers in Azië

Cybersecurityonderzoekers van Kaspersky Labs onderzoeksafdeling SecureList hebben een nieuwe en zeer aangepaste malware onthuld, genaamd GhostContainer. Deze geavanceerde backdoor is actief gericht op Microsoft Exchange- servers in belangrijke organisaties in Azië, waardoor aanvallers uitgebreide controle krijgen over gecompromitteerde systemen en diverse kwaadaardige activiteiten mogelijk worden, waaronder potentiële data-exfiltratie.

GhostContainer is een multifunctionele backdoor die is ontworpen om detectie te omzeilen door standaard servercomponenten na te bootsen. Het wordt geleverd als een bestand met de naam ' App_Web_Container_1.dll ' en heeft een bestandsgrootte van 32,8 KB. De kernfunctionaliteit wordt uitgebreid met aanvullende downloadbare modules. De onderzoekers geven aan dat de aanvallers waarschijnlijk misbruik hebben gemaakt van een bekende, ongepatchte kwetsbaarheid ( N-day-kwetsbaarheid ) in Exchange-servers om toegang te krijgen.

Een belangrijk onderdeel van GhostContainer is de 'Stub'-klasse, die fungeert als een command-and-control (C2)-parser. Deze kan shellcode uitvoeren, bestanden downloaden, opdrachten uitvoeren en extra .NET-bytecode laden. De Stub-klasse probeert met name de Antimalware Scan Interface (AMSI) en het Windows Event Log te omzeilen door specifieke adressen te overschrijven, wat de onopvallendheid verder vergroot.

Onderzoekers hebben vastgesteld dat de gegevens die tussen de aanvallers en de server worden overgedragen, worden beschermd met AES-encryptie, waarbij de sleutel is afgeleid van de ASP.NET-validatiesleutel. De malware kan onder andere de systeemarchitectuur achterhalen, shellcode uitvoeren, opdrachtregels uitvoeren en bestanden beheren.

GhostContainer bevat ook een 'virtuele pagina-injector'-klasse ( App_Web_843e75cf5b63 ) die ghost pages creëert om bestandscontroles te omzeilen en een .NET-reflectieloader te laden. Deze loader activeert vervolgens de webproxyklasse ( App_Web_8c9b251fb5b3 ), een centraal element van de malware. Deze webproxycomponent beschikt over mogelijkheden voor webproxying, socket forwarding en geheime communicatie.

Uit het onderzoek van SecureList bleek ook dat de aanvallers verschillende open-sourceprojecten gebruikten om GhostContainer te bouwen. Zo lijkt de Stub-klasse gebaseerd te zijn op ExchangeCmdPy.py , een open-sourcetool voor het misbruiken van de Exchange-kwetsbaarheid CVE-2020-0688.

Op dezelfde manier maakt de virtuele pagina-injector gebruik van code uit ' PageLoad_ghostfile.aspx ' en is de webproxycomponent een aangepaste versie van 'Neo-reGeorg', een ander open-sourceproject. Deze combinatie van openbare tools met aangepaste aanpassingen toont de geavanceerde vaardigheden van de aanvallers.

Telemetriegegevens verzameld door de onderzoekers suggereren dat GhostContainer deel uitmaakt van een Advanced Persistent Threat (APT)-campagne. De tot nu toe geïdentificeerde slachtoffers zijn onder meer een belangrijke overheidsinstantie en een hightechbedrijf, beide gevestigd in Azië.

De aanvallers vertrouwen niet op een traditionele C2-infrastructuur; in plaats daarvan besturen ze de gecompromitteerde server door opdrachten in te sluiten in reguliere Exchange-webverzoeken. Deze aanpak maakt het lastig om hun specifieke IP-adressen of domeinen te identificeren.

Het onderzoek naar de volledige omvang van deze aanvallen loopt nog. Organisaties dienen intussen snel te handelen en onmiddellijk alle beschikbare beveiligingsupdates en patches voor Exchange-servers en andere software te implementeren om bekende kwetsbaarheden te dichten.