Laut dem Global Research and Analysis Team (GReAT) wurde die GhostContainer-Malware im Rahmen einer langfristigen Advanced Persistent Threat (APT)-Kampagne auf Systemen mit Microsoft Exchange installiert, die sich an wichtige Organisationen in der Region Asien richteten, darunter auch große Technologieunternehmen.
GhostContainer, versteckt in einer Datei namens App_Web_Container_1.dll, ist in Wirklichkeit eine Mehrzweck-Backdoor. Sie kann ihre Funktionalität durch das Laden zusätzlicher Remote-Module erweitern und basiert auf verschiedenen Open-Source-Tools. Die Malware tarnt sich als legitime Komponente des Hostsystems und nutzt ausgeklügelte Ausweichtechniken, um Sicherheitssoftware und Überwachungssysteme zu umgehen.
Sobald GhostContainer in ein System eingedrungen ist, können Angreifer die Kontrolle über den Exchange-Server übernehmen. Er kann als Proxy oder verschlüsselter Tunnel fungieren und so tiefer in das interne Netzwerk eindringen oder sensible Daten unentdeckt stehlen. Experten vermuten daher, dass die Kampagne der Cyberspionage dient.
Sergey Lozhkin, Leiter von Kaspersky GReAT Asien- Pazifik und Naher Osten-Afrika, erklärte, dass die Gruppe hinter GhostContainer über umfassende Kenntnisse der Exchange- und IIS-Serverumgebungen verfüge. Sie nutze Open-Source-Code, um anspruchsvolle Angriffstools zu entwickeln und vermeide dabei offensichtliche Spuren, was die Rückverfolgung der Quelle erheblich erschwere.
Es lässt sich noch nicht feststellen, welche Gruppe hinter dieser Kampagne steckt, da die Malware Code aus zahlreichen Open-Source-Projekten verwendet – was bedeutet, dass sie wahrscheinlich von vielen verschiedenen cyberkriminellen Gruppen weltweit ausgenutzt wird. Statistiken zufolge wurden bis Ende 2024 rund 14.000 Malware-Pakete in Open-Source-Projekten entdeckt, ein Anstieg von 48 % gegenüber Ende 2023. Dies zeigt, dass die Sicherheitsrisiken durch Open Source immer ernster werden.
Um das Risiko zu verringern, Opfer gezielter Cyberangriffe zu werden, sollten Unternehmen ihren Sicherheitsteams laut Kaspersky Zugriff auf aktuelle Bedrohungsinformationen gewähren.
Die Weiterbildung von Cybersicherheitsteams ist unerlässlich, um deren Fähigkeit zur Erkennung und Reaktion auf komplexe Angriffe zu verbessern. Unternehmen sollten außerdem Lösungen zur Endpunkterkennung und Fehlerbehebung sowie Tools zur Überwachung und zum Schutz auf Netzwerkebene einsetzen.
Da viele Angriffe mit Phishing-E-Mails oder anderen Formen psychologischer Täuschung beginnen, müssen Unternehmen ihre Mitarbeiter regelmäßig im Bereich Sicherheit schulen. Investitionen in Technologie, Personal und Prozesse sind entscheidend, um Unternehmen dabei zu unterstützen, ihre Abwehrkräfte gegen immer raffiniertere Bedrohungen zu stärken.
Quelle: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
Kommentar (0)