Kaspersky ontdekt geavanceerde backdoor in Exchange-systemen
Het "GReAT" (Global Research & Analysis Team) securityteam van Kaspersky heeft een geavanceerde multifunctionele backdoor, genaamd "GhostContainer" ontdekt. Het gaat om op maat gemaakte malware, die specifiek is gericht op de Exchange-infrastructuur binnen overheidsorganisaties.
De malware is modulair opgebouwd en kan daardoor eenvoudig worden uitgebreid met aanvullende functionaliteiten. Eenmaal in het systeem genesteld maakt de malware het mogelijk om de controle over de Exchange-server volledig over te nemen en diverse andere malafide activiteiten uit te voeren.
Om detectie te vermijden past de malware meerdere technieken toe. Het vermomt zich onder meer als een regulier server-component om onopgemerkt te blijven. Daarnaast kan de malware dienst doen als proxy of tunnel, bijvoorbeeld voor het extraheren van data of opzetten van aanvallen tegen de rest van het netwerk.
Reacties (19)
18-07-2025, 13:50 door
Peter26
Dus een soort van Rootkit.
18-07-2025, 13:59 door
_R0N_
Een beetje misleidend.
Via een kwetsbaarheid uit 2020 (CVE-2020-0688) wordt er een remote shell geinstalleerd waarmee je toegang tot de serverkrijgt.
Het gaat er dus vooral om dat CVE-2020-0688 van 5 jaar geleden niet gepatched is.
Via een kwetsbaarheid uit 2020 (CVE-2020-0688) wordt er een remote shell geinstalleerd waarmee je toegang tot de serverkrijgt.
Het gaat er dus vooral om dat CVE-2020-0688 van 5 jaar geleden niet gepatched is.
18-07-2025, 14:15 door
Anoniem
This leads us to speculate that the code of the Stub class was developed based on the open-source project. We suspect that the vulnerability exploited in the Exchange attack may be related to CVE-2020-0688.
Is niet netjes dat ze de opensource code hebben aangepast zonder de wijzigingen ook te posten. Hebben ze hiermee de licentievoorwaarden van OS niet verbroken? /i
18-07-2025, 14:53 door
Anoniem
Door Anoniem:
Is niet netjes dat ze de opensource code hebben aangepast zonder de wijzigingen ook te posten. Hebben ze hiermee de licentievoorwaarden van OS niet verbroken? /i
This leads us to speculate that the code of the Stub class was developed based on the open-source project. We suspect that the vulnerability exploited in the Exchange attack may be related to CVE-2020-0688.
Is niet netjes dat ze de opensource code hebben aangepast zonder de wijzigingen ook te posten. Hebben ze hiermee de licentievoorwaarden van OS niet verbroken? /i
"Move fast, break things." Zoals licenties en auteursrecht. Daar bestaat een woord voor: crimineel.
18-07-2025, 15:26 door
Anoniem
Door Anoniem:
Is niet netjes dat ze de opensource code hebben aangepast zonder de wijzigingen ook te posten. Hebben ze hiermee de licentievoorwaarden van OS niet verbroken? /i
Als de software onder de GPL viel en zij hebben commits toegevoegd zonder deze te documenteren en weer vrij te geven met de wijzigingen, dan is het antwoord: Ja! De FSF zou dus nu moeten ingrijpen in dit geval. This leads us to speculate that the code of the Stub class was developed based on the open-source project. We suspect that the vulnerability exploited in the Exchange attack may be related to CVE-2020-0688.
Is niet netjes dat ze de opensource code hebben aangepast zonder de wijzigingen ook te posten. Hebben ze hiermee de licentievoorwaarden van OS niet verbroken? /i
18-07-2025, 18:27 door
Anoniem
Hebben we het hier nu over Microsoft Exchange servers? En zo ja, waarom wordt dat er niet bij vermeldt?
19-07-2025, 01:49 door
Reinder
Door Anoniem: Hebben we het hier nu over Microsoft Exchange servers? En zo ja, waarom wordt dat er niet bij vermeldt?
Nee, het gaat nu toevallig net om dat andere grote en bekende softwarepakket genaamd Exchange waar de meeste overheidsinstanties een infrastructuur voor hebben opgebouwd. Is ook heel verwarrend hoor, al die pakketen die Exchange heten.
19-07-2025, 12:20 door
Anoniem
Beetje dubieuze titel, redactie .
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
19-07-2025, 12:51 door
Anoniem
Door _R0N_: Een beetje misleidend.
Via een kwetsbaarheid uit 2020 (CVE-2020-0688) wordt er een remote shell geinstalleerd waarmee je toegang tot de serverkrijgt.
Het gaat er dus vooral om dat CVE-2020-0688 van 5 jaar geleden niet gepatched is.
Ho ho Er staat duidelijk "may be related" Ik zou er maar vanuit gaan dat je bent ge-hackt.Via een kwetsbaarheid uit 2020 (CVE-2020-0688) wordt er een remote shell geinstalleerd waarmee je toegang tot de serverkrijgt.
Het gaat er dus vooral om dat CVE-2020-0688 van 5 jaar geleden niet gepatched is.
19-07-2025, 17:07 door
Anoniem
Door Anoniem: Beetje dubieuze titel, redactie .
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
Waarschijnlijk zo de media ingeslingerd om zoekresultaten te vervuilen van een ECHTE backdoor gevonden in iOS: Operation Triangulation.
19-07-2025, 19:19 door
Anoniem
Door Anoniem:
Waarschijnlijk zo de media ingeslingerd om zoekresultaten te vervuilen van een ECHTE backdoor gevonden in iOS: Operation Triangulation.
Door Anoniem: Beetje dubieuze titel, redactie .
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
Waarschijnlijk zo de media ingeslingerd om zoekresultaten te vervuilen van een ECHTE backdoor gevonden in iOS: Operation Triangulation.
Want als je zoekresultaten naar iOS wilt vervuilen toeter je over Exchange ?
WTF , deel 's wat van wat je rookt , good stuff man.
20-07-2025, 09:02 door
Anoniem
Door Anoniem:
Want als je zoekresultaten naar iOS wilt vervuilen toeter je over Exchange ?
WTF , deel 's wat van wat je rookt , good stuff man.
Door Anoniem:
Waarschijnlijk zo de media ingeslingerd om zoekresultaten te vervuilen van een ECHTE backdoor gevonden in iOS: Operation Triangulation.
Door Anoniem: Beetje dubieuze titel, redactie .
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
Waarschijnlijk zo de media ingeslingerd om zoekresultaten te vervuilen van een ECHTE backdoor gevonden in iOS: Operation Triangulation.
Want als je zoekresultaten naar iOS wilt vervuilen toeter je over Exchange ?
WTF , deel 's wat van wat je rookt , good stuff man.
Ja, want kaspersky + backdoor levert nu resultaten op die ik niet wil versterken en noemen, terwijl die van iOS in de doofpot zijn gegaan. Heb je daar ooit nog wat gehoord?
20-07-2025, 13:47 door
Anoniem
Door Anoniem:
Ja, want kaspersky + backdoor levert nu resultaten op die ik niet wil versterken en noemen, terwijl die van iOS in de doofpot zijn gegaan. Heb je daar ooit nog wat gehoord?
Het gaat niet over iOS complot theorieën maar over Microsoft Exchange drama's. Schandalig dat de overheid deze software nog gebruikt!Door Anoniem:
Want als je zoekresultaten naar iOS wilt vervuilen toeter je over Exchange ?
WTF , deel 's wat van wat je rookt , good stuff man.
Door Anoniem:
Waarschijnlijk zo de media ingeslingerd om zoekresultaten te vervuilen van een ECHTE backdoor gevonden in iOS: Operation Triangulation.
Door Anoniem: Beetje dubieuze titel, redactie .
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
Waarschijnlijk zo de media ingeslingerd om zoekresultaten te vervuilen van een ECHTE backdoor gevonden in iOS: Operation Triangulation.
Want als je zoekresultaten naar iOS wilt vervuilen toeter je over Exchange ?
WTF , deel 's wat van wat je rookt , good stuff man.
Ja, want kaspersky + backdoor levert nu resultaten op die ik niet wil versterken en noemen, terwijl die van iOS in de doofpot zijn gegaan. Heb je daar ooit nog wat gehoord?
20-07-2025, 16:44 door
Anoniem
Door Anoniem:
WTF , deel 's wat van wat je rookt , good stuff man.
Ja, want kaspersky + backdoor levert nu resultaten op die ik niet wil versterken en noemen, terwijl die van iOS in de doofpot zijn gegaan. Heb je daar ooit nog wat gehoord?
WTF , deel 's wat van wat je rookt , good stuff man.
Ja, want kaspersky + backdoor levert nu resultaten op die ik niet wil versterken en noemen, terwijl die van iOS in de doofpot zijn gegaan. Heb je daar ooit nog wat gehoord?
Oh, je denkt dat een security bedrijf maar één ding ontdekt en dan nooit meer over iets anders publiceert zodat die ene bug het meest zichtbaar blijft ?
Errug zeg, alsof autofabrikanten nooit meer een nieuw model uitbrengen zodat je bij Citroen altijd de 2CV blijft tegenkomen want dat is waar je wat mee hebt.
Probeer eens te zoeken met meer keywords dan het security bedrijf plus de _ontzettend generieke_ term backdoor.
En dan ook nog zo gek zijn om te denken dat ze bewust de vorige bug willen verstoppen.
Gast - security blijven leven van _nieuws_ . Laat aan "de markt" zien dat je actief bent/blijft en telkens 'wat' ontdekt.
20-07-2025, 19:15 door
Anoniem
Door Reinder:
Nee, het gaat nu toevallig net om dat andere grote en bekende softwarepakket genaamd Exchange waar de meeste overheidsinstanties een infrastructuur voor hebben opgebouwd. Is ook heel verwarrend hoor, al die pakketen die Exchange heten.
Door Anoniem: Hebben we het hier nu over Microsoft Exchange servers? En zo ja, waarom wordt dat er niet bij vermeldt?
Nee, het gaat nu toevallig net om dat andere grote en bekende softwarepakket genaamd Exchange waar de meeste overheidsinstanties een infrastructuur voor hebben opgebouwd. Is ook heel verwarrend hoor, al die pakketen die Exchange heten.
Als je het artikel leest gaat het toch over Microsoft Exchange?
21-07-2025, 09:41 door
Anoniem
Klinkt meer alsof een CVE niet goed gepatched is, of dat men heeft weten te achterhalen welke pleister ze geplakt hebben en deze pleister hebben weten te omzeilen...
Patchen is een vak, en bij Microsoft zijn ze.. mwa, laat ik het vriendelijk zeggen.. als je poep in 10 vellen alufolie wikkelt en hard genoeg knijpt krijg je nog steeds bruine vingers...
Patchen is een vak, en bij Microsoft zijn ze.. mwa, laat ik het vriendelijk zeggen.. als je poep in 10 vellen alufolie wikkelt en hard genoeg knijpt krijg je nog steeds bruine vingers...
Next, it retrieves the machine key from the ASP.NET configuration, specifically the validation key, and converts it to a byte array. The code used to generate the validation key was simply copied from the open-source project machinekeyfinder-aspx. The validation key is then hashed using SHA-256 to ensure it is 32 bytes long, and the resulting byte array is returned for use in AES encryption and decryption (to protect the data transferred between the attacker and the Exchange server).
Typisch Micro$oft! Maken ze eens een keer iets open source en dan kunnen ze er niet mee omgaan en hebben ze weer een hack aan de broek. Wat een onvoorstelbare baggerzooi weer!
22-07-2025, 10:22 door
Anoniem
Ik snap sowieso niet dat er nog bedrijven zijn die exchange servers aan het internet hangen. Ik heb niet eens gateway runnen.
22-07-2025, 13:11 door
Anoniem
Door Anoniem:
Ja, want kaspersky + backdoor levert nu resultaten op die ik niet wil versterken en noemen, terwijl die van iOS in de doofpot zijn gegaan. Heb je daar ooit nog wat gehoord?
Door Anoniem:
Want als je zoekresultaten naar iOS wilt vervuilen toeter je over Exchange ?
WTF , deel 's wat van wat je rookt , good stuff man.
Door Anoniem:
Waarschijnlijk zo de media ingeslingerd om zoekresultaten te vervuilen van een ECHTE backdoor gevonden in iOS: Operation Triangulation.
Door Anoniem: Beetje dubieuze titel, redactie .
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
"Kaspersky ontdekt backdoor in product" suggereert dat die er door de leverancier in achtergelaten is.
"Kaspersky ontdekt geavanceerde malware gericht op Exchange" is correcter.
Waarschijnlijk zo de media ingeslingerd om zoekresultaten te vervuilen van een ECHTE backdoor gevonden in iOS: Operation Triangulation.
Want als je zoekresultaten naar iOS wilt vervuilen toeter je over Exchange ?
WTF , deel 's wat van wat je rookt , good stuff man.
Ja, want kaspersky + backdoor levert nu resultaten op die ik niet wil versterken en noemen, terwijl die van iOS in de doofpot zijn gegaan. Heb je daar ooit nog wat gehoord?
Mocht je er nooit van gehoord hebben.....het is GEEN geheim!
https://en.wikipedia.org/wiki/Operation_Triangulation
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?