Tým GReAT objevil tento malware během reakce na incident ve vládních systémech používajících Microsoft Exchange. Předpokládá se, že GhostContainer je součástí sofistikované a trvalé útočné kampaně zaměřené na pokročilé perzistentní hrozby (APT) zaměřené na kritické organizace v Asii, včetně velkých technologických společností.
Škodlivý soubor App_Web_Container_1.dll, který objevil Kaspersky, je ve skutečnosti multifunkční backdoor, který lze rozšířit a přizpůsobit vzdáleným načítáním dalších modulů. Tento malware využívá řadu open-source projektů a je sofistikovaně upraven tak, aby se vyhnul odhalení.
Jakmile je GhostContainer úspěšně nainstalován do systému, mohou hackeři snadno získat úplnou kontrolu nad serverem Exchange, a tím provést řadu nebezpečných akcí bez vědomí uživatele. Tento malware je chytře maskován jako legitimní komponenta serveru a používá různé techniky, aby se vyhnul monitorování, aby se vyhnul detekci antivirovým softwarem a obešel bezpečnostní monitorovací systémy.
Tento malware může navíc fungovat jako proxy server nebo šifrovaný tunel, což vytváří zranitelnosti, které hackerům umožňují infiltrovat interní systémy nebo krást citlivé informace. Vzhledem k tomuto způsobu operace se odborníci domnívají, že primárním účelem této kampaně je s největší pravděpodobností kybernetická špionáž.
Sergej Ložkin, vedoucí globálního výzkumného a analytického týmu (GReAT) pro oblast Asie a Tichomoří a Středního východu a Afriky ve společnosti Kaspersky, uvedl: „Naše hloubková analýza odhaluje, že pachatelé jsou velmi zběhlí v infiltraci serverů Microsoft Exchange. Využívají řadu open-source nástrojů k pronikání do prostředí IIS a Exchange a vyvíjejí sofistikované špionážní nástroje založené na snadno dostupném open-source kódu. Budeme i nadále sledovat aktivity skupiny, stejně jako rozsah a závažnost útoků, abychom lépe pochopili celkový obraz hrozeb.“
GhostContainer používá kód z mnoha open-source projektů, což ho činí vysoce zranitelným vůči zneužití kyberzločineckými skupinami nebo APT kampaněmi kdekoli na světě . Je pozoruhodné, že do konce roku 2024 bylo v open-source projektech detekováno celkem 14 000 malwarových balíčků, což představuje 48% nárůst oproti konci roku 2023. Toto číslo ukazuje rostoucí úroveň rizika v této oblasti.
Zdroj: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
Komentář (0)