Nieuws
image

Kaspersky ontdekt geavanceerde backdoor in Exchange-systemen

vrijdag 18 juli 2025, 13:39 door Redactie, 6 reacties

Het "GReAT" (Global Research & Analysis Team) securityteam van Kaspersky heeft een geavanceerde multifunctionele backdoor, genaamd "GhostContainer" ontdekt. Het gaat om op maat gemaakte malware, die specifiek is gericht op de Exchange-infrastructuur binnen overheidsorganisaties.

De malware is modulair opgebouwd en kan daardoor eenvoudig worden uitgebreid met aanvullende functionaliteiten. Eenmaal in het systeem genesteld maakt de malware het mogelijk om de controle over de Exchange-server volledig over te nemen en diverse andere malafide activiteiten uit te voeren.

Om detectie te vermijden past de malware meerdere technieken toe. Het vermomt zich onder meer als een regulier server-component om onopgemerkt te blijven. Daarnaast kan de malware dienst doen als proxy of tunnel, bijvoorbeeld voor het extraheren van data of opzetten van aanvallen tegen de rest van het netwerk.

Reacties (6)
Reageer met quote
Gisteren, 13:50 door Peter26
Dus een soort van Rootkit.
Reageer met quote
Gisteren, 13:59 door _R0N_
Een beetje misleidend.

Via een kwetsbaarheid uit 2020 (CVE-2020-0688) wordt er een remote shell geinstalleerd waarmee je toegang tot de serverkrijgt.

Het gaat er dus vooral om dat CVE-2020-0688 van 5 jaar geleden niet gepatched is.
Reageer met quote
Gisteren, 14:15 door Anoniem
This leads us to speculate that the code of the Stub class was developed based on the open-source project. We suspect that the vulnerability exploited in the Exchange attack may be related to CVE-2020-0688.

Is niet netjes dat ze de opensource code hebben aangepast zonder de wijzigingen ook te posten. Hebben ze hiermee de licentievoorwaarden van OS niet verbroken? /i
Reageer met quote
Gisteren, 14:53 door Anoniem
Door Anoniem:
This leads us to speculate that the code of the Stub class was developed based on the open-source project. We suspect that the vulnerability exploited in the Exchange attack may be related to CVE-2020-0688.

Is niet netjes dat ze de opensource code hebben aangepast zonder de wijzigingen ook te posten. Hebben ze hiermee de licentievoorwaarden van OS niet verbroken? /i

"Move fast, break things." Zoals licenties en auteursrecht. Daar bestaat een woord voor: crimineel.
Reageer met quote
Gisteren, 15:26 door Anoniem
Door Anoniem:
This leads us to speculate that the code of the Stub class was developed based on the open-source project. We suspect that the vulnerability exploited in the Exchange attack may be related to CVE-2020-0688.

Is niet netjes dat ze de opensource code hebben aangepast zonder de wijzigingen ook te posten. Hebben ze hiermee de licentievoorwaarden van OS niet verbroken? /i
Als de software onder de GPL viel en zij hebben commits toegevoegd zonder deze te documenteren en weer vrij te geven met de wijzigingen, dan is het antwoord: Ja! De FSF zou dus nu moeten ingrijpen in dit geval.
Reageer met quote
Gisteren, 18:27 door Anoniem
Hebben we het hier nu over Microsoft Exchange servers? En zo ja, waarom wordt dat er niet bij vermeldt?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure