Según el Equipo de Análisis e Investigación Global (GReAT), el malware GhostContainer se instaló en sistemas que utilizan Microsoft Exchange, como parte de una campaña de amenaza persistente avanzada (APT) a largo plazo dirigida a organizaciones clave en la región de Asia, incluidas importantes empresas de tecnología.
GhostContainer, oculto en un archivo llamado App_Web_Container_1.dll, es en realidad una puerta trasera multipropósito. Es capaz de ampliar su funcionalidad cargando módulos remotos adicionales y se basa en diversas herramientas de código abierto. El malware se disfraza como un componente legítimo del sistema host, utilizando sofisticadas técnicas de evasión para eludir el software de seguridad y los sistemas de monitorización.
Una vez dentro del sistema, GhostContainer permite a los atacantes tomar el control del servidor Exchange. Puede actuar como proxy o túnel cifrado, lo que permite una penetración más profunda en la red interna o el robo de datos confidenciales sin ser detectado. Estas acciones han llevado a los expertos a sospechar que la campaña tiene fines de ciberespionaje.
Sergey Lozhkin, director de GReAT de Kaspersky para Asia- Pacífico , Oriente Medio y África, afirmó que el equipo responsable de GhostContainer posee un amplio conocimiento de los entornos de servidores Exchange e IIS. Utilizan código abierto para desarrollar herramientas de ataque sofisticadas, evitando rastros obvios, lo que dificulta enormemente el rastreo del origen.
Aún no es posible determinar qué grupo está detrás de esta campaña, ya que el malware utiliza código de numerosos proyectos de código abierto, lo que significa que es probable que sea ampliamente explotado por diversos grupos cibercriminales en todo el mundo. Cabe destacar que, según las estadísticas, a finales de 2024 se detectaron aproximadamente 14 000 paquetes de malware en proyectos de código abierto, un 48 % más que a finales de 2023, lo que demuestra que los riesgos de seguridad del código abierto son cada vez más graves.
Para reducir el riesgo de ser víctima de ciberataques dirigidos, las empresas deben equipar a sus equipos de operaciones de seguridad con acceso a recursos de inteligencia de amenazas actualizados, según Kaspersky.
Fortalecer las habilidades de los equipos de ciberseguridad es fundamental para aumentar su capacidad de detectar y responder a ataques sofisticados. Las empresas también deben implementar soluciones de detección y resolución de problemas de endpoints, combinadas con herramientas de monitorización y protección a nivel de red.
Además, dado que muchos ataques comienzan con correos electrónicos de phishing u otras formas de engaño psicológico, las organizaciones deben brindar capacitación periódica sobre seguridad a sus empleados. Invertir en tecnología, personal y procesos integrales es clave para ayudar a las empresas a fortalecer sus defensas contra amenazas cada vez más sofisticadas.
Fuente: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
Kommentar (0)