Una nuova minaccia informatica prende di mira le infrastrutture Microsoft Exchange. Si chiama GhostContainer e a scoprirla è stato il Global Research and Analysis Team (GReAT) di Kaspersky durante un’operazione di Incident Response in ambienti governativi asiatici. Si tratta di un malware avanzato, ancora sconosciuto fino a oggi, che sfrutta componenti open-source per infiltrarsi in sistemi strategici, con un probabile fine di spionaggio informatico.
Un malware modulare e invisibile
GhostContainer si presenta sotto forma di una libreria dinamica denominata App_Web_Container_1.dll, mascherandosi da componente legittimo del server Exchange. In realtà, è una backdoor sofisticata e multifunzionale, in grado di:
- estendersi dinamicamente con moduli scaricabili,
- agire come proxy o tunnel per facilitare l’accesso esterno alla rete,
- eludere le soluzioni di sicurezza, camuffandosi tra le normali operazioni del sistema.
Una volta attivato, consente un controllo completo del server Exchange compromesso. Le tecniche di evasione adottate e l’utilizzo di codice open-source rendono la sua individuazione particolarmente complessa, aggravando il rischio di esfiltrazione di dati sensibili e compromissione di intere reti.
Un attacco APT difficile da attribuire
Secondo Sergey Lozhkin, responsabile del GReAT per le regioni APAC e META, la campagna sembra riconducibile a un attore di tipo APT (Advanced Persistent Threat), ma non è ancora possibile collegare GhostContainer a un gruppo specifico. La mancanza di un’infrastruttura visibile e l’adozione di codice pubblico fanno pensare a un attacco altamente mirato, potenzialmente replicabile da gruppi diversi nel mondo.
L’utilizzo di codice open-source malevolo è in crescita: solo nel 2024 sono stati individuati 14.000 pacchetti dannosi, con un incremento del 48% rispetto all’anno precedente. Questo dato conferma la pericolosità della pratica di inserire codice compromesso in progetti pubblicamente accessibili.
Le raccomandazioni degli esperti
Kaspersky suggerisce un approccio multilivello per contrastare minacce come GhostContainer. Le aziende dovrebbero:
- dotare i SOC di aggiornamenti costanti di Threat Intelligence, tramite strumenti come Kaspersky Threat Intelligence;
- formare i team di cybersecurity con training aggiornati, come quelli forniti dal GReAT;
- implementare soluzioni di Endpoint Detection and Response per indagare e neutralizzare le infezioni;
- adottare piattaforme in grado di rilevare minacce mirate a livello di rete, come Kaspersky Anti Targeted Attack Platform;
- rafforzare la consapevolezza sulla sicurezza tra i dipendenti, soprattutto contro phishing e ingegneria sociale, usando strumenti come Kaspersky Automated Security Awareness Platform.
Considerazioni finali
La scoperta di GhostContainer evidenzia ancora una volta la vulnerabilità degli ambienti Exchange e la crescente sofisticazione delle minacce APT, che si avvalgono di strumenti open-source per passare inosservati. Il confine tra software legittimo e codice malevolo si fa sempre più sottile, e solo un approccio preventivo e informato può garantire un livello adeguato di protezione.
🔗 Il report completo è disponibile su Securelist.com.
