L'équipe GReAT a découvert le logiciel malveillant lors d'interventions sur des systèmes gouvernementaux utilisant Microsoft Exchange. GhostContainer serait impliqué dans une campagne de menace persistante avancée (APT) sophistiquée et persistante ciblant des organisations clés en Asie, notamment d'importantes entreprises technologiques.
Le fichier malveillant découvert par Kaspersky, nommé App_Web_Container_1.dll, est en réalité une porte dérobée multifonctionnelle extensible par le téléchargement à distance de modules supplémentaires. Ce logiciel malveillant exploite de nombreux projets open source et est sophistiqué pour échapper à la détection.
Une fois GhostContainer installé sur un système, les pirates peuvent facilement prendre le contrôle total du serveur Exchange et exécuter diverses actions dangereuses à l'insu de l'utilisateur. Ce logiciel malveillant est habilement dissimulé en composant légitime du serveur et utilise de nombreuses techniques de contournement de la surveillance pour échapper à la détection des antivirus et aux systèmes de sécurité.
De plus, ce logiciel malveillant peut servir de serveur proxy ou de tunnel chiffré, créant ainsi des failles permettant aux pirates de s'infiltrer dans les systèmes internes ou de dérober des informations sensibles. Au vu de ce mode opératoire, les experts soupçonnent que l'objectif principal de cette campagne soit probablement le cyberespionnage.
« Notre analyse approfondie révèle que les auteurs de ces attaques maîtrisent parfaitement les systèmes de serveurs Microsoft Exchange. Ils exploitent divers outils open source pour pénétrer les environnements IIS et Exchange et développent des outils d'espionnage sophistiqués à partir de code source ouvert disponible. Nous continuerons de surveiller les activités du groupe, ainsi que l'ampleur et la gravité de leurs attaques, afin de mieux appréhender la menace dans son ensemble », a déclaré Sergey Lozhkin, responsable de l'équipe mondiale de recherche et d'analyse (GReAT) pour l'Asie-Pacifique, le Moyen-Orient et l'Afrique chez Kaspersky.
GhostContainer utilise du code provenant de plusieurs projets open source, ce qui le rend totalement vulnérable aux groupes cybercriminels et aux attaques APT partout dans le monde . À noter qu'à la fin de 2024, 14 000 logiciels malveillants avaient été détectés dans des projets open source, soit une augmentation de 48 % par rapport à fin 2023. Ce chiffre témoigne de l'accroissement du niveau de risque dans ce domaine.
Source : https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Photo] « Cimetière de navires » dans la baie de Xuan Dai](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/08/1762577162805_ndo_br_tb5-jpg.webp)
![[Vidéo] Les monuments de Hué rouvrent leurs portes aux visiteurs](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/11/05/1762301089171_dung01-05-43-09still013-jpg.webp)
Comment (0)