GhostContainer: backdoor per Microsoft Exchange
Topic
Approfondimenti
Trending
tutti

GhostContainer: backdoor per Microsoft Exchange

Kaspersky ha individuato una nuova backdoor, denominata GhostContainer, che permette di prendere il controllo dei server Microsoft Exchange.
GhostContainer: backdoor per Microsoft Exchange
Sicurezza
Kaspersky ha individuato una nuova backdoor, denominata GhostContainer, che permette di prendere il controllo dei server Microsoft Exchange.
Kaspersky

I ricercatori di Kaspersky hanno scoperto una nuova backdoor per Microsoft Exchange durante un intervento presso un cliente. Il malware, denominato GhostContainer, sfrutta alcuni progetti open source e possono essere aggiunti moduli per altre funzionalità. Al momento, i bersagli dei cybercriminali sono aziende che operano in Asia, ma la minaccia potrebbe estendersi in tutto il mondo.

Descrizione della backdoor

Analizzando file e log del server Exchange, gli esperti del Global Research and Analysis Team (GReAT) di Kaspersky hanno trovato il file App_Web_Container_1.dll. Non è una DLL, ma una backdoor che, quando caricata in memoria, esegue i comandi ricevuti dai cybercriminali.

GhostContainer permette di prendere il controllo del server ed eseguire diverse attività, tra cui esecuzione di comandi remoti, caricamento di codice .NET e download di file. I ricercatori di Kaspersky ipotizzano che il server sia stato compromesso sfruttando la vulnerabilità CVE-2020-0688. Microsoft ha rilasciato la patch oltre cinque anni fa, ma non è stata installata.

Le funzionalità della backdoor possono essere estese dinamicamente tramite il download di moduli aggiuntivi. Per aggirare il rilevamento da parte dei prodotti di sicurezza vengono utilizzate diverse tecniche di elusione. Può camuffarsi da componente server comune e funzionare come proxy o tunnel, esponendo la rete interna a minacce esterne e facilitando l’esfiltrazione di dati sensibili.

In base ai dati della telemetria, Kaspersky ipotizza che il malware viene sfruttato durante una campagna rivolta a target di alto valore in Asia. Finora sono state individuate due vittime, un’azienda high tech e un’agenzia governativa.

Non sono stati scoperti gli autori degli attacchi perché GhostContainer non stabilisce una connessione con server C2 (command and control). I cybercriminali si connettono al server compromesso dall’esterno e i comandi sono nascosti all’interno di normali richieste web di Exchange. Per questo motivo non sono stati identificati indirizzi IP o domini.

Fonte: Kaspersky

Pubblicato il 18 lug 2025

Link copiato negli appunti

Ti potrebbe interessare

Aladdin è il nuovo exploit 0-click usato da Predator

Aladdin è il nuovo exploit 0-click usato da Predator
3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando

3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando
Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno

Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno
VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)

VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)
Aladdin è il nuovo exploit 0-click usato da Predator

Aladdin è il nuovo exploit 0-click usato da Predator
3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando

3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando
Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno

Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno
VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)

VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)
Luca Colantuoni
Pubblicato il
18 lug 2025
Link copiato negli appunti