Новая вредоносная программа GhostContainer атакует ценные серверы MS Exchange в Азии

Специалисты по кибербезопасности из исследовательского подразделения «Лаборатории Касперского» SecureList обнаружили новое, тщательно разработанное вредоносное ПО, получившее название GhostContainer. Этот сложный бэкдор активно атакует серверы Microsoft Exchange в крупных организациях по всей Азии, предоставляя злоумышленникам обширный контроль над скомпрометированными системами и позволяя им выполнять различные вредоносные действия, включая потенциальную кражу данных.

GhostContainer — это многофункциональный бэкдор , разработанный для обхода обнаружения путём имитации стандартных серверных компонентов. Он поставляется в виде файла App_Web_Container_1.dll размером 32,8 КБ. Его основная функциональность расширяется с помощью дополнительных загружаемых модулей. Исследователи указывают, что злоумышленники, вероятно, воспользовались известной, неисправленной уязвимостью ( уязвимостью N-day ) в серверах Exchange для получения первоначального доступа.

Ключевым компонентом GhostContainer является класс «Stub», который выполняет функцию парсера команд и управления (C2). Он может выполнять шелл-код, загружать файлы, выполнять команды и загружать дополнительный байт-код .NET. В частности, класс «Stub» пытается обойти интерфейс сканирования вредоносных программ (AMSI) и журнал событий Windows, перезаписывая определённые адреса, что дополнительно повышает его скрытность.

Исследователи установили, что данные, передаваемые между злоумышленниками и сервером, защищены шифрованием AES с ключом, полученным из ключа проверки ASP.NET. Возможности вредоносной программы включают в себя получение информации об архитектуре системы, запуск шелл-кода, выполнение командных строк и управление файлами.

GhostContainer также включает класс «инжектор виртуальных страниц» ( App_Web_843e75cf5b63 ), который создаёт страницы-призраки для обхода проверки файлов и загрузки загрузчика рефлексии .NET. Этот загрузчик затем активирует класс веб-прокси ( App_Web_8c9b251fb5b3 ), центральный элемент вредоносной программы. Этот компонент веб-прокси обладает возможностями веб-прокси, переадресации сокетов и скрытого обмена данными.

Расследование SecureList также показало, что злоумышленники использовали несколько проектов с открытым исходным кодом для создания GhostContainer. Например, класс Stub, по-видимому, основан на ExchangeCmdPy.py — инструменте с открытым исходным кодом для эксплуатации уязвимости Exchange CVE-2020-0688.

Аналогично, виртуальный инжектор страниц использует код из PageLoad_ghostfile.aspx , а компонент веб-прокси представляет собой модифицированную версию Neo-reGeorg, другого проекта с открытым исходным кодом. Это сочетание общедоступных инструментов с пользовательскими модификациями демонстрирует продвинутые навыки злоумышленников.

Телеметрические данные, собранные исследователями, указывают на то, что GhostContainer является частью кампании Advanced Persistent Threat (APT). Среди выявленных на данный момент жертв — ключевое государственное учреждение и высокотехнологичная компания, расположенные в Азии.

Злоумышленники не используют традиционную инфраструктуру C2; вместо этого они управляют скомпрометированным сервером, внедряя команды в обычные веб-запросы Exchange. Такой подход затрудняет определение их конкретных IP-адресов или доменов.

Расследование всех масштабов этих атак продолжается. В то же время организациям следует действовать оперативно и немедленно установить все доступные обновления безопасности и исправления для серверов Exchange и другого программного обеспечения, чтобы закрыть известные уязвимости.