Una campaña de malware altamente sofisticada dirigida a servidores de intercambio de Microsoft en organizaciones gubernamentales y de alta tecnología en toda Asia.
El malware, denominado GhostContainer, explota vulnerabilidades N-Day para establecer el acceso persistente de puerta trasera a la infraestructura crítica.
Control de llave
1. GhostContainer utiliza la vulnerabilidad CVE-2020-0688 para crear traseros persistentes.
2. La arquitectura de tres etapas permite operaciones de poder web, túneles y sigilo dentro del tráfico de intercambio legítimo.
3. La campaña APT comprometió las agencias gubernamentales y las empresas tecnológicas en toda Asia.
Capacidades avanzadas de puerta trasera y técnicas de evasión
Kaspersky informa que el malware GhostContainer (app_web_container_1.dll, sha256: 87a3aefb5cdf714882eb02051916371fbf04af2eb7a5ddeaeee4b6b4441b2168e36) demostraciones de múltiples múltiples. arquitectura.
El malware emplea una estructura de tres clases que consiste en Stub, APP_WEB_843E75CF5B63 y APP_WEB_8C9B251FB5B3, cada uno con fines operativos distintos.
Para evadir la detección, el malware intenta inmediatamente evitar AMSI (interfaz de escaneo de antimalware) y el registro de eventos de Windows sobrescribiendo direcciones específicas en AMSI.DLL y NTDLL.DLL.
La puerta trasera utiliza la clave de validación ASP.NET del servidor Exchange, recuperada de la configuración de la máquina y hash utilizando SHA-256 para crear una clave de cifrado AES de 32 bytes para las comunicaciones seguras de comando y control.
El malware admite catorce operaciones de comando distintas, incluida la ejecución de shellcode, la manipulación de archivos, la carga de bytecode .NET y las solicitudes de publicación HTTP a múltiples URL simultáneamente.
Cada comando genera respuestas formatadas en XML que contienen la cadena codificada /WEPDWUKLTCYC4, que los investigadores han vinculado a la herramienta de explotación intercambio de código abierto.
GhostContainer aprovecha la falla de intercambio (CVE-2020-0688)
Análisis revelado Ese GhostContainer aprovecha múltiples proyectos de código abierto, particularmente similitudes de código con ExchangeCmdpy.py, lo que sugiere la explotación de CVE-2020-0688, una vulnerabilidad de deserialización en los servidores de cambio.
El ataque emplea un mecanismo de inyección de página virtual sofisticado a través de la clase APP_WEB_843E75CF5B63, que crea páginas fantasmas utilizando clases de VirtualProvider para evitar las verificaciones del sistema de archivos.
El componente de proxy web del malware, APP_WEB_8C9B251FB5B3, se basa en la herramienta de túnel de neo-revegeorg y las solicitudes de procesos a través de encabezados personalizados: QPRTFVA para el reenvío de proxy y DZVVLNWKCCF para la comunicación de socket.
Esta doble función permite las operaciones de proxy web y el establecimiento de túnel TCP de larga vida entre redes internas e infraestructura de comandos externos.
La telemetría actual indica que GhostContainer ha comprometido con éxito al menos dos objetivos de alto valor: una agencia gubernamental clave y una compañía de alta tecnología, ambos ubicados en Asia.
El diseño del malware se dirige específicamente a la infraestructura de intercambio dentro de los entornos gubernamentales, lo que sugiere una campaña APT enfocada contra la infraestructura nacional crítica.
A diferencia de las campañas tradicionales de malware, GhostContainer opera sin establecer conexiones directas con infraestructura C2 externa.
GhostContainer C2 comandos y funcionalidad
Comando idfunctity0get el tipo de arquitectura del sistema (p. Ej., X86 o x64) .1Run recibió datos como shellCode.2ExCute una línea de comando. (APP_WEB_843E75CF5B63) .11 Delete Archivos que contienen “APP_GLOBAL” en sus nombres. 14 Solicitudes de publicación HTTP de HTTP a múltiples URL simultáneamente.
En su lugar, los atacantes se conectan a servidores comprometidos de redes externas, ocultando comandos de control dentro de las solicitudes web legítimas de intercambio.
La naturaleza sofisticada del ataque, combinada con la capacidad del malware para funcionar como una puerta trasera y un túnel de red, indica la participación de un actor de amenaza altamente calificado y profesional con una comprensión profunda de los sistemas de intercambio y las operaciones de servicios web.
Indicadores de compromiso de GhostContainer (COI)
Indicador TypeValueFilenamePP_WEB_CONTAINER_1.DLLMD501D98380DFB9211251C75C87DDB3C79C
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
