L'équipe GReAT a découvert le malware lors d'interventions sur des systèmes gouvernementaux utilisant Microsoft Exchange. GhostContainer serait impliqué dans une campagne de menaces persistantes avancées (APT) sophistiquée et persistante ciblant des organisations clés en Asie, notamment de grandes entreprises technologiques.
Le fichier malveillant découvert par Kaspersky, appelé App_Web_Container_1.dll, est en réalité une porte dérobée multifonctionnelle pouvant être étendue par le téléchargement de modules supplémentaires à distance. Ce malware exploite de nombreux projets open source et est optimisé pour échapper à la détection.
Une fois GhostContainer installé sur un système, les pirates peuvent facilement prendre le contrôle total du serveur Exchange, à partir duquel ils peuvent effectuer une série d'actions dangereuses à l'insu de l'utilisateur. Ce malware se fait habilement passer pour un composant serveur valide et utilise de nombreuses techniques de contournement de la surveillance pour échapper à la détection des antivirus et contourner les systèmes de surveillance.
De plus, ce logiciel malveillant peut agir comme un serveur intermédiaire (proxy) ou un tunnel chiffré (tunnel), créant ainsi des failles permettant aux pirates de pénétrer dans les systèmes internes ou de voler des informations sensibles. Compte tenu de ce mode opératoire, les experts soupçonnent que le principal objectif de cette campagne est probablement le cyberespionnage.
« Notre analyse approfondie révèle que les auteurs maîtrisent parfaitement l'infiltration des serveurs Microsoft Exchange. Ils exploitent divers outils open source pour pénétrer les environnements IIS et Exchange et ont développé des outils d'espionnage sophistiqués basés sur le code open source disponible. Nous continuerons de surveiller les activités du groupe, ainsi que l'ampleur et la gravité de ses attaques, afin de mieux comprendre le paysage global des menaces », a déclaré Sergey Lozhkin, responsable de l'équipe mondiale de recherche et d'analyse (GReAT) pour l'Asie-Pacifique, le Moyen-Orient et l'Afrique chez Kaspersky.
GhostContainer utilise du code issu de plusieurs projets open source, ce qui le rend extrêmement vulnérable aux groupes de cybercriminels ou aux campagnes APT partout dans le monde . Fin 2024, 14 000 malwares ont été détectés dans des projets open source, soit une augmentation de 48 % par rapport à fin 2023. Ce chiffre témoigne de l'augmentation du niveau de risque dans ce domaine.
Source : https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
Comment (0)