São Paulo — InkDesign News — Pesquisadores em cibersegurança da unidade de pesquisa da Kaspersky, SecureList, identificaram um malware customizado chamado GhostContainer, direcionado a servidores Microsoft Exchange em organizações de alto valor na Ásia, utilizando um vetor de exploração baseado em vulnerabilidades conhecidas.
Incidente e vulnerabilidade
GhostContainer é uma backdoor multifuncional que se disfarça como componentes padrão de servidor e é entregue como um arquivo denominado ‘App_Web_Container_1.dll’, com um tamanho de 32,8 KB. Os atacantes provavelmente exploraram uma vulnerabilidade conhecida, conhecida como N-day vulnerability, em servidores Exchange para obter acesso inicial. Esta vulnerabilidade está relacionada ao CVE-2020-0688.
Impacto e resposta
As características do GhostContainer permitem que os atacantes realizem várias atividades maliciosas, incluindo a execução de código Shell e o gerenciamento de arquivos. Além disso, os dados transferidos entre os atacantes e o servidor são protegidos com criptografia AES, com a chave derivada da chave de validação do ASP.NET. A abordagem dos atacantes não se baseia em uma infraestrutura tradicional de comando e controle (C2); pelo contrário, eles incorporam comandos nas requisições web padrão do Exchange, dificultando a identificação de endereços IP ou domínios específicos.
“Os atacantes utilizam uma técnica que integra comandos nas requisições regulares do Exchange, dificultando sua detecção.”
(“The attackers utilize a technique that integrates commands into regular Exchange requests, making their detection difficult.”)— Pesquisadores, Kaspersky SecureList
Mitigações recomendadas
Organizações devem aplicar imediatamente todas as atualizações de segurança e patches disponíveis para servidores Exchange e outros softwares, a fim de mitigar vulnerabilidades conhecidas. O relatório destaca a necessidade de implementar boas práticas de segurança, incluindo a avaliação regular de sistemas e a atualização contínua de softwares. A vigilância constante e a análise de tráfego podem ajudar na identificação de atividades incomuns ou maliciosas.
“É essencial que as organizações ajam rapidamente para fechar as vulnerabilidades existentes e proteger seus sistemas.”
(“It is essential for organizations to act quickly to close existing vulnerabilities and protect their systems.”)— Pesquisadores, Kaspersky SecureList
Ainda em investigação para entender completamente o escopo dessas atividades de ataque, os riscos residuais exigem atenção constante das organizações, que devem revisar suas posturas de segurança e se preparar para possíveis futuras tentativas de exploração.
Fonte: (Hack Read – Segurança Cibernética)
