El equipo de Análisis e Investigación Global de Kaspersky (GReAT) ha descubierto una nueva puerta trasera, llamada GhostContainer, basada en herramientas de código abierto. Se trata de un malware muy personalizado y hasta ahora desconocido, que apareció durante una investigación en servidores Microsoft Exchange utilizados en entornos gubernamentales. Todo indica que esta amenaza forma parte de una campaña APT (amenaza persistente avanzada) dirigida a objetivos de alto valor en Asia, como empresas tecnológicas y organismos oficiales.
Kaspersky identificó el archivo como App_Web_Container_1.dll, y resultó ser una puerta trasera sofisticada y muy versátil. Utiliza varios proyectos de código abierto y puede ampliarse dinámicamente descargando módulos adicionales con distintas funciones, según lo necesiten los ciberdelincuentes.
Una vez en funcionamiento, el malware permite a los ciberdelincuentes controlar por completo el servidor de correo Exchange. Desde ahí pueden llevar a cabo todo tipo de acciones maliciosas. Para evitar ser detectado por los sistemas de seguridad, el programa se camufla como si fuera una parte legítima del servidor y usa varias técnicas para pasar desapercibido. Además, puede actuar como un intermediario o un canal oculto, lo que abre la puerta a conexiones externas no autorizadas o incluso al robo de información confidencial desde dentro de la red. Por todo esto, se cree que el objetivo principal de esta operación es el ciberespionaje.
“El análisis exhaustivo nos ha demostrado que los ciberdelincuentes poseen un alto nivel de conocimiento técnico, tanto en la explotación de sistemas Exchange como en el uso de proyectos de código abierto enfocados a infiltrar entornos IIS y Exchange. También dominan la creación y mejora de herramientas de espionaje complejas basadas en código público. Seguiremos observando su actividad, así como el alcance y la magnitud de estos ataques, para comprender mejor el panorama de amenazas” afirma Sergey Lozhkin, jefe del equipo GReAT para las regiones de APAC y META.
Por el momento, no ha sido posible atribuir GhostContainer a ningún grupo conocido de ciberdelincuentes, ya que estos no han dejado expuesta ninguna infraestructura. El malware incorpora código de varios proyectos de código abierto accesibles públicamente, lo que permite que tanto ciberdelincuentes como grupos APT de todo el mundo puedan utilizarlo. Cabe destacar que, a finales de 2024, se identificaron 14.000 paquetes maliciosos en proyectos de código abierto, lo que representa un aumento del 48 % respecto al cierre de 2023 y pone de manifiesto el creciente riesgo en este ámbito.
Puedes leer el informe completo en Securelist.com
Para reducir el riesgo de sufrir un ataque dirigido, los expertos de Kaspersky recomiendan tomar las siguientes medidas:
Proporcionar al equipo de SOC acceso a inteligencia de amnazas. Kaspersky Threat Intelligence centraliza todos los datos de ciberamenazas recopilados por la compañía durante más de 20 años.
Mejorar la capacitación del equipo de ciberseguridad con formación online especializada, desarrollada por los expertos de GReAT, para hacer frente a amenazas dirigidas de última generación.
Implantar soluciones EDR, como Kaspersky Endpoint Detection and Response, para detectar, investigar y mitigar incidentes a nivel de endpoints.
Complementar la protección de endpoints con una solución de seguridad corporativa capaz de detectar amenazas avanzadas en la red desde las fases más tempranas, como Kaspersky Anti Targeted Attack Platform.
Dado que muchos ciberataques dirigidos comienzan con técnicas de phishing o ingeniería social, conviene incorporar programas de concienciación en seguridad que ofrezcan formación práctica al personal, como los que ofrece Kaspersky Automated Security Awareness Platform.
