Scoperta una sofisticata backdoor che sfrutta codice open source per violare server Exchange di enti governativi e aziende hi-tech asiatiche. L’obiettivo è lo spionaggio.
Autore: Redazione SecurityOpenLab
Gli analisti del GReAT Team di Kaspersky hanno scoperto, durante un’operazione di incident response, una nuova backdoor progettata per colpire l’infrastruttura di Microsoft Exchange. Soprannominata GhostContainer, si tratta di un malware custom sviluppato a partire da progetti open-source, con il preciso scopo di colpire bersagli di alto profilo nell’area asiatica, fra cui importanti aziende hi-tech e istituzioni governative. Si tratta di una sofisticata backdoor, finora sconosciuta, che è indicativa per comprendere il nuovo livello di complessità raggiunto dagli APT.
GhostContainer è emersa durante una operazione di routine: l’analisi dei log di sicurezza all’interno di ambienti Exchange compromessi. Gli indizi suggeriscono che gli attaccanti abbiamo avuto accesso alle infrastrutture target sfruttando una vulnerabilità già nota. La backdoor è stata installata sotto le mentite spoglie di una DLL apparentemente lecita, e una volta attivata ha permesso agli attaccanti di prendere un controllo pressoché totale sul server Exchange.
Una volta eseguita, suddetta DLL organizza le proprie funzionalità in tre classi principali, più una utility per la manipolazione delle stringhe. Il primo step consiste nell’orchestrazione delle comunicazioni con i server di comando e controllo, nell’esecuzione di shellcode, nel download di file, nel lancio di nuovi moduli e nell’attuazione di comandi direttamente sul sistema infetto.
La principale funzione di GhostContainer è quella di garantire un accesso remoto invisibile e persistente, che si ottiene mediante lo sfruttamento di una serie di tecniche di evasione che eludono i normali strumenti di detection e confondono le attività con operazioni legittime. In particolare, il malware tenta di bypassare l’Antimalware Scan Interface e i registri eventi di Windows sovrascrivendo porzioni di codice nelle DLL di sistema per eludere le soluzioni EDR e i log di sicurezza. Inoltre, GhostContainer recupera la chiave di validazione direttamente dalle impostazioni di configurazione di ASP.NET presenti sul sistema, trasforma questa chiave con l’algoritmo SHA-256 e successivamente la sfrutta per cifrare con crittografia AES il traffico generato dal malware. Così facendo, tutta la comunicazione malevola avviene in modo cifrato e risulta difficile da intercettare o analizzare.
L’analisi ha portato a individuare una struttura fortemente modulare e polimorfa: il cuore del malware può essere aggiornato dinamicamente per arricchirlo alla bisogna di nuove funzionalità che lo rendono altamente adattabile. Il set di comandi supporta una gamma impressionante di azioni: dalla semplice esecuzione di comandi e download/upload di file, fino all’iniezione dinamica di pezzi di codice .NET, all’uso di proxy HTTP e tunnel TCP persistenti. Il risultato di ogni istruzione viene restituito in un formato XML personalizzato, arricchito da stringhe già impiegate in tool open-source per lo sfruttamento di vulnerabilità Exchange: si evidenziano così legami con progetti quali machinekeyfinder-aspx per il reperimento di chiavi, ExchangeCmdPy.py per l’exploit della CVE-2020-0688, e Neo-reGeorg per le capacità di tunneling.
Molte informazioni recuperate indicano che lo scopo degli attaccanti è lo spionaggio: GhostContainer non instaura canali diretti di comunicazione e non utilizza server di comando e controllo noti o visibili all’esterno. Le istruzioni sono inglobate nel traffico HTTP legittimo così da annullare la possibilità di ricavare Indicatori di Compromissione legati a domini, indirizzi IP o server esterni. Le funzionalità di proxy e tunnelling permettono di utilizzare il server come punto di intermediazione per muoversi lateralmente all’interno dell’infrastruttura target e per veicolare/mascherare traffico dannoso diretto all’esterno. Inoltre, il malware può inoltrare richieste HTTP, interagire tramite socket TCP, e gestire connessioni multiple in parallelo per garantire all’attaccante la possibilità di manipolare dati e applicazioni d’interesse con il massimo controllo e senza destare sospetti.
Purtroppo, l’analisi del codice di GhostContainer non ha evidenziato collegamenti strutturali con altre minacce note, anzi, il riuso di segmenti di progetti open-source pubblicamente disponibili rende difficile qualsiasi attribuzione. Quello che è certo è l’alto livello degli attaccanti, che hanno scelto vulnerabilità note ma ancora sfruttabili con profitto, hanno dimostrato una conoscenza sopraffina delle architetture Exchange e hanno dimostrato notevole esperienza e capacità tecnica. Inoltre, i ricercatori hanno notato la preferenza per vettori supply chain, l’uso versatile di codice open-source opportunamente adattato, la già citata difficoltà a reperire indicatori di compromissione affidabili. Tutto questo porta a ritenere che dietro agli attacchi ci sia un gruppo APT dedito allo spionaggio industriale o statale.
Difendersi contro una minaccia sofisticata quale GhostContainer è tutt’altro che semplice e di certo non basta un prodotto. Considerato che fra i principali vettori di attacco ci sono le vulnerabilità non corrette, è fondamentale che i sistemi siano sempre aggiornati. Occorre inoltre un monitoraggio continuo supportato da strumenti di analisi comportamentale capaci di rilevare anomalie di processo anche nel traffico apparentemente legittimo. Sono fondamentali poi l’audit continuo delle componenti installate, con particolare attenzione a librerie e tool di terze parti, e la formazione degli amministratori di sistema riguardo alle più recenti tecniche di attacco che sfruttano il software open-source. Ultimo tassello è il rafforzamento delle policy di autenticazione e dei privilegi per ridurre al minimo la possibilità di movimento laterale in caso di infezione.