La puerta trasera GhostContainer permite controlar servidores Microsoft Exchange
GhostContainer es una de las últimas amenazas bajo el radar de los investigadores de seguridad. Se trata de una puerta trasera que está basada en código de proyectos open source accesibles públicamente y que afecta a servidores Microsoft Exchange.
Kaspersky detectó el archivo App_Web_Container_1.dll durante un análisis de servidores en entornos gubernamentales.
“El análisis exhaustivo nos ha demostrado que los ciberdelincuentes poseen un alto nivel de conocimiento técnico, tanto en la explotación de sistemas Exchange como en el uso de proyectos de código abierto enfocados a infiltrar entornos IIS y Exchange”, comenta Sergey Lozhkin, jefe del equipo de Análisis e Investigación Global de Kaspersky (GReAT) para las regiones APAC y META.
“También dominan la creación y mejora de herramientas de espionaje complejas basadas en código público”, advierte este experto.
Kaspersky explica que GhostContainer es un malware “muy personalizado y hasta ahora desconocido”, que permite controlar servidores de correo por completo.
A partir de ahí puede derivar en otras acciones. La amenaza se ampliaría con la descarga de módulos adicionales según las necesidades concretas de los ciberdelincuentes.
Este backdoor se incluye en una campaña contra objetivos de valor en Asia, entre los que se incluyen organismos oficiales y compañías tecnológicas. Su objetivo principal sería el ciberespionaje. Lo que se desconoce por el momento es quién está detrás.
Para evitar su detección, GhostContainer emplea diferentes técnicas como camuflarse como parte legítima del servidor
También es capaz de actuar como intermediario o canal oculto, permitiendo conexiones externas que no han sido autorizadas o habilitando el robo de datos confidenciales.
Ante esta situación, Kaspersky lanza una serie de recomendaciones para atajar el avance de GhostContainer y malware similar.
La lista de consejos empieza por facilitar el acceso del equipo de SOC a la inteligencia de amenazas y continúa con reforzar la capacitación del equipo de seguridad a través de recursos especializados en malware de última generación. Además, conviene formar al resto de la plantilla para la identificación del phishing y técnicas de ingeniería social.
Las empresas también deberían implementar herramientas EDR de detección y respuesta de endpoints y soluciones para el descubrimiento en una fase temprana de amenazas avanzadas en la red.
(silicon.es)
Les estaremos informando con mucho más detalle, en el marco del informe especial: “Soluciones y productos de infraestructura para edificios y ciudades inteligentes (Sistemas BIM y BMS), POL (Passive Optical LAN). Seguridad integrada, video vigilancia y control de acceso. Casos de uso y aplicabilidad de cada solución y producto, incluyendo la colaboración digital (relacionado a realidad virtual sistema BIM) (Gemelos digitales). Buenas prácticas ambientales.», que estamos preparando para nuestra edición 216 y publicaremos en el mes de agosto.
Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.
