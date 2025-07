Das Global Research and Analysis Team (GReAT) von Kaspersky hat GhostContainer während einer Incident-Response-Untersuchung aufgefunden. Die hochgradig angepasste Schadsoftware zielt auf die Microsoft-Exchange-Infrastruktur in Regierungsumgebungen ab und könnte Teil einer Advanced Persistent Threat (APT)-Kampagne sein.

GhostContainer wurde als App_Web_Container_1.dll entdeckt. Es handelt sich dabei um eine hochentwickelte, multifunktionale Backdoor, die mehrere Open-Source-Projekte nutzt und durch den Download zusätzlicher Module dynamisch um weitere Funktionen erweitert werden kann.

Vollständige Kontrolle über den Exchange-Server

Über die Backdoor erhalten Angreifer die vollständige Kontrolle über den Exchange-Server und können so eine Vielzahl schädlicher Aktivitäten durchführen. Um der Erkennung durch Sicherheitslösungen zu entgehen, nutzt GhostContainer verschiedene Ausweichtechniken und tarnt sich als legitime Serverkomponente, um sich nahtlos in den normalen Betrieb einzufügen. Darüber hinaus kann sie als Proxy oder Tunnel fungieren und so das interne Netzwerk externen Bedrohungen aussetzen oder die Exfiltration sensibler Daten aus internen Systemen erleichtern. Daher vermuten die Kaspersky-Experten Cyberspionage als Ziel der Kampagne.

Derzeit ist es noch nicht möglich, GhostContainer einer bekannten Bedrohungsgruppe zuzuordnen, da die Angreifer keine Infrastruktur offengelegt haben. Die Malware enthält jedoch Code aus mehreren öffentlich zugänglichen Open-Source-Projekten, die von Hackern oder APT-Gruppen weltweit genutzt werden könnten. Bis Ende 2024 wurden insgesamt 14.000 schädliche Pakete in Open-Source-Projekten identifiziert; dies entspricht einem Anstieg von 48 Prozent gegenüber dem Vorjahreszeitraum und verdeutlicht die wachsende Bedrohung in diesem Bereich.

„Unsere umfassende Analyse zeigt, dass die Angreifer über hohe Kompetenzen verfügen, Exchange-Systeme auszunutzen und verschiedene Open-Source-Projekte zur Infiltration von IIS- und Exchange-Umgebungen zu nutzen“, so Sergey Lozhkin, Head of GReAT APAC & META bei Kaspersky. „Darüber hinaus entwickeln und verbessern sie komplexe Spionagetools auf Basis öffentlich verfügbarer Codes.“