Новый бэкдор GhostContainer маскируется под компонент Exchange

Екатерина Быстрова 21 Июля 2025 - 17:27

Корпорации

Государство

Лаборатория Касперского

Бэкдоры

Трояны

Целевые атаки

Таргетированные атаки

...

Новый бэкдор GhostContainer маскируется под компонент Exchange

Специалисты из команды Kaspersky GReAT (глобальный центр по изучению киберугроз «Лаборатории Касперского») нашли новый сложный бэкдор под названием GhostContainer. Этот вредонос позволяет злоумышленникам управлять заражённым устройством и, судя по всему, используется в таргетированных атаках на крупные компании. Основная цель, как предполагается, — кибершпионаж.

Зловред был обнаружен при расследовании атаки на Exchange-сервер в госсекторе. Аналитики обратили внимание на подозрительный файл с именем App_Web_Container_1.dll.

Выяснилось, что это не обычный компонент, а многофункциональный бэкдор, построенный на основе нескольких проектов с открытым исходным кодом.

Что делает этот зловред таким опасным:

он может расширяться — загружать дополнительные модули и получать новые функции;
маскируется под легитимные компоненты Exchange, чтобы его не заметили системы защиты;
может использоваться как прокси или туннель, что ставит под угрозу всю внутреннюю сеть организации.

По сути, установив такой бэкдор, злоумышленник получает полный доступ к серверу Exchange, а вместе с ним — и к чувствительной информации компании.

По словам Сергея Ложкина, главы GReAT в регионах APAC и МЕТА, у разработчиков GhostContainer явно высокий технический уровень. Они хорошо понимают архитектуру Exchange и умеют превращать открытый код в эффективные инструменты для слежки. Пока атаки фиксируются только в Азии, но ничто не мешает злоумышленникам перенести их и в другие регионы.

Интересно, что сам GhostContainer пока не удалось точно привязать к какой-либо известной хакерской группе, так что исследователи продолжают следить за развитием ситуации.

Фоном к этому стоит отметить тревожную тенденцию: по данным «Лаборатории Касперского», к концу 2024 года в проектах с открытым исходным кодом по всему миру уже было обнаружено 14 тысяч вредоносных пакетов — на 48% больше, чем годом ранее. Так что использовать open source — это удобно, но теперь всё чаще и небезопасно.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 11 Февраля 2026 - 16:12

Linux Ботнет Атаки на сайты DDoS-атаки Домашние пользователи Малый и средний бизнес

Linux-ботнет SSHStalker старомоден: C2-коммуникации только по IRC

Специалисты по киберразведке из Flare обнаружили Linux-ботнет, операторы которого отдали предпочтение надежности, а не скрытности. Для наращивания потенциала SSHStalker использует шумные SSH-сканы и 15-летние уязвимости, для C2-связи — IRC.

Новобранец пока просто растет, либо проходит обкатку: боты подключаются к командному серверу и переходят в состояние простоя. Из возможностей монетизации выявлены сбор ключей AWS, сканирование сайтов, криптомайнинг и генерация DDoS-потока.

Первичный доступ к Linux-системам ботоводам обеспечивают автоматизированные SSH-сканы и брутфорс. С этой целью на хосты с открытым портом 22 устанавливается написанный на Go сканер, замаскированный под опенсорсную утилиту Nmap.

В ходе заражения также загружаются GCC для компиляции полезной нагрузки, IRC-боты с вшитыми адресами C2 и два архивных файла, GS и bootbou. Первый обеспечивает оркестрацию, второй — персистентность и непрерывность исполнения (создает cron-задачу на ежеминутный запуск основного процесса бота и перезапускает его в случае завершения).

Чтобы повысить привилегии на скомпрометированном хосте, используются эксплойты ядра, суммарно нацеленные на 16 уязвимостей времен Linux 2.6.x (2009-2010 годы).

Владельцы SSHStalker — предположительно выходцы из Румынии, на это указывает ряд найденных артефактов.

Исследователи также обнаружили файл со свежими результатами SSH-сканов (около 7 тыс. прогонов, все за прошлый месяц). Большинство из них ассоциируются с ресурсами Oracle Cloud в США, Евросоюзе и странах Азиатско-Тихоокеанского региона.