Schadsoftware mit Open-Source-Wurzeln

GhostContainer: Backdoor für Microsoft Exchange Server

Microsoft Exchange
Bildquelle: monticello /Shutterstock.com
LinkedInRedditWhatsAppPocket

Sicherheitsforscher des Global Research and Analysis Team (GReAT) von Kaspersky haben eine neue, bislang unbekannte Schadsoftware aufgedeckt.

Die Backdoor, die den Namen GhostContainer trägt, wurde im Rahmen einer Untersuchung zu einem IT-Sicherheitsvorfall entdeckt und richtet sich gezielt gegen Microsoft-Exchange-Server – insbesondere in Regierungsumgebungen.

Anzeige

Eine komplexe Schadsoftware mit Open-Source-Wurzeln

GhostContainer verbirgt sich hinter der Datei App_Web_Container_1.dll und ist keine gewöhnliche Malware. Die Backdoor wurde mit Hilfe öffentlich zugänglicher Open-Source-Tools entwickelt und zeigt eine hohe technische Reife. Sie ist modular aufgebaut und lässt sich durch das Nachladen zusätzlicher Komponenten erweitern, um weitere Funktionen nach Bedarf zu aktivieren.

Ziel der Angreifer: die vollständige Kontrolle über Exchange-Systeme. Die Schadsoftware erlaubt nicht nur tiefgehende Eingriffe ins System, sondern kann auch als Tunnel oder Proxy fungieren. Dadurch lassen sich interne Netzwerke nach außen hin öffnen – etwa für die Exfiltration sensibler Daten oder zur Vorbereitung weiterer Angriffe.

Ein zentrales Merkmal von GhostContainer ist ihre Fähigkeit zur Tarnung. Die Schadsoftware gibt sich als legitime Serverkomponente aus und ist so in der Lage, sich unauffällig in reguläre Prozesse einzufügen. Sicherheitslösungen sollen auf diese Weise umgangen werden.

Anzeige

Hinweise deuten auf eine gezielte Spionagekampagne hin, auch wenn die genaue Herkunft der Angriffe bislang unklar bleibt. Die Täter hinter GhostContainer haben keine eigene Infrastruktur offengelegt, was eine Zuordnung zu bekannten Hackergruppen derzeit unmöglich macht.

GhostContainer nutzt unter anderem Code aus frei verfügbaren Open-Source-Projekten – ein Trend, der Sicherheitsforscher zunehmend beschäftigt. Laut Kaspersky wurden allein bis Ende 2024 14.000 schädliche Pakete in Open-Source-Projekten identifiziert. Das entspricht einem Zuwachs von 48 Prozent gegenüber dem Vorjahr und unterstreicht, wie sehr sich diese Angriffsvektoren häufen.

Empfehlungen für Unternehmen

Um sich gegen komplexe Bedrohungen wie GhostContainer besser zu schützen, sollten Unternehmen einige grundlegende Sicherheitsmaßnahmen umsetzen:

  • Aktuelle Bedrohungsdaten nutzen: Sicherheitsverantwortliche benötigen Zugang zu fundierten Informationen über aktuelle Angriffsformen und Methoden.
  • Schulungen für IT-Teams: Incident-Response-Teams sollten regelmäßig weitergebildet werden, um gezielte Bedrohungen erkennen und einschätzen zu können.
  • Sensibilisierung der Belegschaft: Da viele Angriffe mit Social Engineering oder Phishing beginnen, ist auch die Schulung aller Mitarbeitenden unerlässlich.
  • EDR-Lösungen einsetzen: Endpoint Detection and Response ermöglicht es, Angriffe auf Endgeräte frühzeitig zu erkennen und gezielt zu stoppen.
  • Ganzheitliche Sicherheitsplattformen integrieren: Systeme, die auf Netzwerkebene ansetzen, können bereits frühe Anzeichen fortgeschrittener Bedrohungen identifizieren.

(pd/Kaspersky)


Anzeige

Artikel zu diesem Thema

Microsoft verabschiedet sich vom Passwort-Manager in Authenticator-App

Weitere Artikel

Warum fragmentierte Sicherheit die Cybersicherheit schwächt
MSPs im Wandel: Neue Rolle als strategische Sicherheitsarchitekten
10 Warnsignale für defektes Vulnerability Management
Teams-Chat wird zur Sicherheitslücke in Microsoft 365
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.