Di recente, è emersa una nuova minaccia informatica che riguarda il panorama della cybersicurezza. Ad evidenziarla è stata un’indagine condotta dal team GReAT (Global Research and Analysis Team) di Kaspersky. Si tratta di GhostContainer, una backdoor mai vista prima. Quest’ultima è stata progettata per infiltrarsi nei server Microsoft Exchange utilizzati all’interno di enti governativi. La scoperta è avvenuta durante un intervento mirato di risposta a un incidente. Rivelando un sofisticato meccanismo di attacco mascherato all’interno di un file apparentemente innocuo, chiamato App_Web_Container_1.dll. Ciò che rende particolarmente pericoloso tale malware è la sua capacità di confondersi con processi legittimi. Eludendo, in tal modo, i controlli di sicurezza. GhostContainer si distingue anche per la sua architettura modulare, che gli permette di scaricare ulteriori componenti. Estendendo così dinamicamente le sue funzionalità. Tra cui figurano la possibilità di trasformare il server in un tunnel verso altre reti interne e la sottrazione di dati sensibili.
Scovato un nuovo pericolo da Kaspersky
Il contesto tecnico analizzato dagli esperti evidenzia l’elevato livello di preparazione degli autori dell’attacco. Sergey Lozhkin, a capo del GReAT per APAC e META, ha sottolineato come gli aggressori sfruttino progetti open source per manipolare ambienti complessi come quelli basati su IIS e Microsoft Exchange. Si tratta di un uso mirato di codice accessibile pubblicamente, combinato in modo da costruire strumenti personalizzati e altamente efficaci.
Anche se non è stato ancora possibile identificare con certezza il gruppo responsabile, la natura dell’attacco conferma un trend in forte crescita. Nel corso del 2024, infatti, sono stati scoperti oltre 14.000 pacchetti malevoli nei principali ambienti open source. Con un aumento significativo rispetto all’anno precedente. Tale dato mette in evidenza la vulnerabilità della supply-chain del software, che rappresenta un punto debole sfruttabile da attori malevoli sempre più organizzati. Nel frattempo, in risposta a tale minaccia, Kaspersky consiglia alle organizzazioni di rafforzare le proprie difese adottando soluzioni basate su threat intelligence e aggiornamenti continui.
