Selon l'équipe mondiale de recherche et d'analyse (GReAT), le malware GhostContainer a été installé dans des systèmes utilisant Microsoft Exchange, dans le cadre d'une campagne de menaces persistantes avancées (APT) à long terme ciblant des organisations clés de la région Asie, y compris de grandes entreprises technologiques.
GhostContainer, caché dans un fichier nommé App_Web_Container_1.dll, est en réalité une porte dérobée polyvalente. Capable d'étendre ses fonctionnalités en chargeant des modules distants supplémentaires, il s'appuie sur divers outils open source. Ce malware se fait passer pour un composant légitime du système hôte et utilise des techniques d'évasion sophistiquées pour contourner les logiciels de sécurité et les systèmes de surveillance.
Une fois à l'intérieur d'un système, GhostContainer permet aux attaquants de prendre le contrôle du serveur Exchange. Il peut agir comme un proxy ou un tunnel chiffré, permettant une pénétration plus profonde du réseau interne ou le vol de données sensibles sans être détecté. Ces actions ont conduit les experts à soupçonner que la campagne vise à des fins de cyberespionnage.
Sergey Lozhkin, responsable de la division GReAT Asie- Pacifique et Moyen-Orient-Afrique de Kaspersky, a déclaré que l'équipe à l'origine de GhostContainer maîtrise parfaitement les environnements serveurs Exchange et IIS. Elle utilise du code open source pour développer des outils d'attaque sophistiqués tout en évitant les traces évidentes, ce qui rend très difficile la traçabilité de la source.
Il est encore impossible d'identifier le groupe à l'origine de cette campagne, car le logiciel malveillant utilise du code provenant de nombreux projets open source, ce qui signifie qu'il est susceptible d'être largement exploité par divers groupes de cybercriminels à travers le monde. Selon les statistiques, fin 2024, environ 14 000 logiciels malveillants ont été détectés dans des projets open source, soit une augmentation de 48 % par rapport à fin 2023, ce qui témoigne de l'aggravation des risques de sécurité liés à l'open source.
Pour réduire le risque d’être victime de cyberattaques ciblées, les entreprises doivent fournir à leurs équipes d’opérations de sécurité un accès à des ressources de renseignement sur les menaces à jour, selon Kaspersky.
Il est essentiel de renforcer les compétences des équipes de cybersécurité pour accroître leur capacité à détecter et à répondre aux attaques sophistiquées. Les entreprises doivent également déployer des solutions de détection et de dépannage des terminaux, associées à des outils de surveillance et de protection du réseau.
De plus, comme de nombreuses attaques commencent par des e-mails de phishing ou d'autres formes de tromperie psychologique, les entreprises doivent proposer régulièrement des formations de sensibilisation à la sécurité à leurs employés. Investir dans la technologie, les ressources humaines et les processus à tous les niveaux est essentiel pour aider les entreprises à renforcer leurs défenses contre des menaces de plus en plus sophistiquées.
Source : https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
Comment (0)