L'équipe GReAT a découvert le logiciel malveillant lors d'interventions sur incidents sur des systèmes gouvernementaux utilisant Microsoft Exchange. GhostContainer serait impliqué dans une campagne de menaces persistantes avancées (APT) sophistiquée et persistante ciblant des organisations clés en Asie, notamment de grandes entreprises technologiques.
Le fichier malveillant découvert par Kaspersky, appelé App_Web_Container_1.dll, est en réalité une porte dérobée multifonctionnelle pouvant être étendue par le téléchargement de modules supplémentaires à distance. Ce logiciel malveillant exploite de nombreux projets open source et est optimisé pour échapper à la détection.
Une fois GhostContainer installé sur un système, les pirates peuvent facilement prendre le contrôle total du serveur Exchange, à partir duquel ils peuvent effectuer une série d'actions dangereuses à l'insu de l'utilisateur. Ce logiciel malveillant se fait habilement passer pour un composant valide du serveur et utilise de nombreuses techniques de contournement de la surveillance pour échapper à la détection des antivirus et contourner les systèmes de surveillance.
De plus, ce logiciel malveillant peut agir comme un serveur proxy ou un tunnel chiffré, créant ainsi des failles permettant aux pirates de pénétrer dans les systèmes internes ou de voler des informations sensibles. Compte tenu de ce mode opératoire, les experts soupçonnent que le principal objectif de cette campagne est probablement le cyberespionnage.
« Notre analyse approfondie révèle que les auteurs maîtrisent parfaitement l'infiltration des systèmes serveurs Microsoft Exchange. Ils exploitent divers outils open source pour pénétrer les environnements IIS et Exchange et développent des outils d'espionnage sophistiqués basés sur le code open source disponible. Nous continuerons de surveiller les activités du groupe, ainsi que l'ampleur et la gravité de ses attaques, afin de mieux appréhender le paysage global des menaces », a déclaré Sergey Lozhkin, responsable de l'équipe mondiale de recherche et d'analyse (GReAT) pour l'Asie-Pacifique, le Moyen-Orient et l'Afrique chez Kaspersky.
GhostContainer utilise du code issu de plusieurs projets open source, ce qui le rend totalement vulnérable aux groupes de cybercriminels ou aux campagnes APT partout dans le monde . Fin 2024, 14 000 malwares ont été détectés dans des projets open source, soit une augmentation de 48 % par rapport à fin 2023. Ce chiffre témoigne de l'augmentation du niveau de risque dans ce domaine.
Source : https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Photo] Le Premier ministre Pham Minh Chinh préside la première réunion du Comité central de pilotage sur la politique du logement et le marché immobilier](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/22/c0f42b88c6284975b4bcfcf5b17656e7)
![[Photo] Le secrétaire général To Lam remet la médaille du travail de première classe au groupe national de l'énergie et de l'industrie du Vietnam](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/21/0ad2d50e1c274a55a3736500c5f262e5)
Comment (0)