GhostContainer: آسیب‌پذیری جدید از طریق بدافزار Backdoor به سرورهای Microsoft Exchange حمله می‌کند

تیم GReAT این بدافزار را در جریان عملیات واکنش به حادثه در سیستم‌های دولتی که از Microsoft Exchange استفاده می‌کنند، کشف کرد. اعتقاد بر این است که GhostContainer بخشی از یک کمپین تهدید پیشرفته و مداوم (APT) است که سازمان‌های کلیدی در منطقه آسیا، از جمله شرکت‌های بزرگ فناوری را هدف قرار می‌دهد.

فایل مخرب کشف شده توسط کسپرسکی، App_Web_Container_1.dll نام دارد و در واقع یک در پشتی چندمنظوره است که می‌تواند با دانلود ماژول‌های اضافی از راه دور گسترش یابد. این بدافزار از بسیاری از پروژه‌های متن‌باز سوءاستفاده می‌کند و به طرز پیچیده‌ای سفارشی‌سازی شده است تا از شناسایی شدن جلوگیری کند.

پس از نصب موفقیت‌آمیز GhostContainer روی یک سیستم، هکرها می‌توانند به راحتی کنترل کامل سرور Exchange را در دست بگیرند و از آنجا بدون اطلاع کاربر، مجموعه‌ای از اقدامات خطرناک را انجام دهند. این بدافزار به طرز هوشمندانه‌ای به عنوان یک جزء معتبر از سرور پنهان می‌شود و از تکنیک‌های فرار از نظارت زیادی برای جلوگیری از شناسایی توسط نرم‌افزارهای آنتی‌ویروس و دور زدن سیستم‌های نظارت امنیتی استفاده می‌کند.

علاوه بر این، این بدافزار می‌تواند به عنوان یک پروکسی سرور یا یک تونل رمزگذاری شده عمل کند و روزنه‌هایی برای هکرها ایجاد کند تا به سیستم‌های داخلی نفوذ کنند یا اطلاعات حساس را سرقت کنند. با نگاهی به این روش عملیاتی، کارشناسان گمان می‌کنند که هدف اصلی این کمپین احتمالاً جاسوسی سایبری است.

سرگئی لوژکین، رئیس تیم تحقیق و تحلیل جهانی (GReAT) برای آسیا و اقیانوسیه و خاورمیانه و آفریقا در کسپرسکی، گفت: «تجزیه و تحلیل عمیق ما نشان می‌دهد که عاملان این حملات در نفوذ به سیستم‌های سرور مایکروسافت اکسچنج بسیار ماهر هستند. آن‌ها از ابزارهای متن‌باز متنوعی برای نفوذ به محیط‌های IIS و اکسچنج استفاده می‌کنند و ابزارهای جاسوسی پیچیده‌ای را بر اساس کدهای متن‌باز موجود توسعه می‌دهند. ما به نظارت بر فعالیت‌های این گروه و همچنین دامنه و شدت حملات آن‌ها ادامه خواهیم داد تا تصویر کلی تهدید را بهتر درک کنیم.»

منبع: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html