Selon la Global Research and Analysis Team (GReAT), le malware GhostContainer a été installé sur des systèmes utilisant Microsoft Exchange, dans le cadre d'une campagne de menaces persistantes avancées (APT) à long terme ciblant des organisations clés de la région Asie, notamment de grandes entreprises technologiques.
GhostContainer, caché dans un fichier nommé App_Web_Container_1.dll, est en réalité une porte dérobée polyvalente. Capable d'étendre ses fonctionnalités en chargeant des modules distants supplémentaires, il s'appuie sur divers outils open source. Ce malware se fait passer pour un composant légitime du système hôte et utilise des techniques d'évasion sophistiquées pour contourner les logiciels de sécurité et les systèmes de surveillance.
Une fois dans le système, GhostContainer permet aux attaquants de prendre le contrôle des serveurs Exchange. Il peut agir comme un proxy ou un tunnel chiffré, leur permettant de pénétrer plus profondément dans le réseau interne ou de voler des données sensibles sans être détectés. Ces actions ont conduit les experts à soupçonner que la campagne vise à des fins de cyberespionnage.
Sergey Lozhkin, responsable de l'équipe GReAT Asie -Pacifique et Moyen-Orient-Afrique de Kaspersky, a déclaré que l'équipe à l'origine de GhostContainer maîtrise parfaitement les environnements serveurs Exchange et IIS. Elle utilise du code open source pour développer des outils d'attaque sophistiqués tout en évitant les traces évidentes, ce qui rend très difficile la recherche de l'origine.
On ignore actuellement quel groupe se cache derrière cette campagne, car le logiciel malveillant utilise du code provenant de plusieurs projets open source ; il est donc susceptible d'être largement utilisé par divers groupes de cybercriminels à travers le monde. Selon les statistiques, fin 2024, environ 14 000 logiciels malveillants ont été détectés dans des projets open source, soit une augmentation de 48 % par rapport à fin 2023. Ce chiffre témoigne de l'aggravation des risques de sécurité liés à l'open source.
Pour réduire le risque d’être victime de cyberattaques ciblées, les entreprises doivent fournir à leurs équipes d’opérations de sécurité un accès à des sources de renseignements sur les menaces à jour, selon Kaspersky.
Le perfectionnement des équipes de cybersécurité est essentiel pour accroître leur capacité à détecter et à répondre aux attaques sophistiquées. Les entreprises doivent également déployer des solutions de détection et de dépannage des terminaux, associées à des outils de surveillance et de protection du réseau.
De plus, comme de nombreuses attaques commencent par des e-mails d'hameçonnage ou d'autres formes de tromperie psychologique, les entreprises doivent régulièrement former leurs employés à la sécurité. Un investissement coordonné dans les technologies, les ressources humaines et les processus est essentiel pour aider les entreprises à renforcer leurs défenses contre des menaces de plus en plus complexes.
Source : https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
![[Photo] Les projets de documents du 14e Congrès du Parti parviennent aux bureaux de poste culturels des communes](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/28/1761642182616_du-thao-tai-tinh-hung-yen-4070-5235-jpg.webp)
![[Photo] Le président de l'Assemblée nationale, Tran Thanh Man, a reçu une délégation du Parti social-démocrate d'Allemagne](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/28/1761652150406_ndo_br_cover-3345-jpg.webp)
![[Photo] Inondation sur le côté droit de la porte, entrée de la citadelle de Hué](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/28/1761660788143_ndo_br_gen-h-z7165069467254-74c71c36d0cb396744b678cec80552f0-2-jpg.webp)
![[Photo] Le président Luong Cuong assiste au 80e anniversaire de la Journée traditionnelle des forces armées de la région militaire 3](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/28/1761635584312_ndo_br_1-jpg.webp)
Comment (0)