Zum Hauptinhalt springen

Kaspersky entdeckt Backdoor für Microsoft Exchange Server

17. Juli 2025

Hochgradig angepasste Schadsoftware ‚GhostContainer‘ mithilfe von Open-Source-Tools entwickelt

Das Global Research and Analysis Team (GReAT) von Kaspersky hat eine bislang unbekannte Backdoor entdeckt, die mithilfe von Open-Source-Tools entwickelt wurde [1] und den Namen ‚GhostContainer‘ trägt. Die hochgradig angepasste Schadsoftware wurde während einer Incident-Response-Untersuchung aufgefunden, zielt auf die Microsoft-Exchange-Infrastruktur in Regierungsumgebungen ab und könnte Teil einer Advanced Persistent Threat (APT)-Kampagne sein.

GhostContainer wurde als App_Web_Container_1.dll entdeckt. Es handelt sich dabei um eine hochentwickelte, multifunktionale Backdoor, die mehrere Open-Source-Projekte nutzt und durch den Download zusätzlicher Module dynamisch um weitere Funktionen erweitert werden kann.

Über die Backdoor erhalten Angreifer die vollständige Kontrolle über den Exchange-Server und können so eine Vielzahl schädlicher Aktivitäten durchführen. Um der Erkennung durch Sicherheitslösungen zu entgehen, nutzt GhostContainer verschiedene Ausweichtechniken und tarnt sich als legitime Serverkomponente, um sich nahtlos in den normalen Betrieb einzufügen. Darüber hinaus kann sie als Proxy oder Tunnel fungieren und so das interne Netzwerk externen Bedrohungen aussetzen oder die Exfiltration sensibler Daten aus internen Systemen erleichtern. Daher vermuten die Kaspersky-Experten Cyberspionage als Ziel der Kampagne.

Derzeit ist es noch nicht möglich, GhostContainer einer bekannten Bedrohungsgruppe zuzuordnen, da die Angreifer keine Infrastruktur offengelegt haben. Die Malware enthält jedoch Code aus mehreren öffentlich zugänglichen Open-Source-Projekten, die von Hackern oder APT-Gruppen weltweit genutzt werden könnten. Bis Ende 2024 wurden insgesamt 14.000 schädliche Pakete in Open-Source-Projekten identifiziert; dies entspricht einem Anstieg von 48 Prozent gegenüber dem Vorjahreszeitraum und verdeutlicht die wachsende Bedrohung in diesem Bereich.

„Unsere umfassende Analyse zeigt, dass die Angreifer über hohe Kompetenzen verfügen, Exchange-Systeme auszunutzen und verschiedene Open-Source-Projekte zur Infiltration von IIS- und Exchange-Umgebungen zu nutzen“, so Sergey Lozhkin, Head of GReAT APAC & META bei Kaspersky. „Darüber hinaus entwickeln und verbessern sie komplexe Spionagetools auf Basis öffentlich verfügbarer Codes. Wir werden ihre Aktivitäten sowie den Umfang und das Ausmaß dieser Angriffe weiterhin beobachten, um die Bedrohungslandschaft besser zu verstehen.“

Kaspersky-Empfehlungen zum Schutz vor GhostContainer

  • Das SOC-Team sollte Zugriff auf die neuesten Bedrohungsdaten (Threat Intelligence, TI) haben. Kaspersky Threat Intelligence [2] bietet einen zentralen Zugangspunkt zu unternehmensweiten Cyberangriffsdaten und Erkenntnissen aus über 20 Jahren.
  • Cybersicherheitsteams mit den von Kasperskys GReAT-Experten entwickelten Online-Schulungen [3] weiterbilden, um sie auf den neuesten Stand bezüglich gezielter Bedrohungen zu bringen.
  • Alle Mitarbeiter regelmäßig zu Cyberbedrohungen schulen und Sicherheitsbewusstsein sowie praktische Fähigkeiten vermitteln – beispielsweise mithilfe der Kaspersky Automated Security Awareness Platform [4] –, da viele gezielte Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen.
  • Der Einsatz von EDR-Lösungen wie Kaspersky Endpoint Detection and Response [5] ermöglicht es, sicherheitsrelevante Vorfälle auf Endpunktebene zu erkennen, zu analysieren und zügig zu beheben.
  • Eine unternehmensweite Sicherheitslösung wie Kaspersky Anti Targeted Attack Platform [6] implementieren, die fortgeschrittene Bedrohungen bereits auf Netzwerkebene identifiziert.

 

Die Malware ‚GhostContainer‘ wird von Kaspersky-Lösungen als App_Web_Container_1.dll erkannt.

 

Der ausführliche Bericht ist verfügbar unter https://securelist.com/ghostcontainer/116953/

 

[1] https://securelist.com/ghostcontainer/116953/

[2] https://www.kaspersky.de/enterprise-security/threat-intelligence

[3] https://go.kaspersky.com/expert-de

[4] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform

[5] https://go.kaspersky.com/expert-de

[6] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform

 

Nützliche Links:

 

Kaspersky entdeckt Backdoor für Microsoft Exchange Server

Hochgradig angepasste Schadsoftware ‚GhostContainer‘ mithilfe von Open-Source-Tools entwickelt
Kaspersky logo

Über Kaspersky

Kaspersky ist ein global agierendes Unternehmen, das im Jahr 1997 gegründet wurde und Lösungen für die Cybersicherheit und den Schutz der Privatsphäre im Internet anbietet. Die tiefgreifende Threat Intelligence und die Sicherheitsexpertise von Kaspersky bilden die Basis für innovative Lösungen und Dienstleistungen zum Schutz von Privatanwendern, Unternehmen, kritischen Infrastrukturen und Regierungen weltweit. Bis heute hat Kaspersky über eine Milliarde Geräte vor neu auftretenden Cyberbedrohungen und gezielten Angriffen geschützt. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden digitalen Schutz für private Geräte, spezialisierte Sicherheitsprodukte und -dienstleistungen für Unternehmen sowie Lösungen für die Cyber-Immunität zur Bekämpfung komplexer und sich ständig weiterentwickelnder digitaler Bedrohungen. Wir helfen Millionen von Privatanwendern und fast 200.000 Unternehmenskunden, das zu schützen, was ihnen am wichtigsten ist. Weitere Informationen erhalten Sie unter www.kaspersky.de.

Verwandter Artikel Pressemitteilungen