GhostContainer: פגיעות חדשה תוקפת שרתי Microsoft Exchange באמצעות תוכנה זדונית אחורית

צוות GReAT גילה את הנוזקה במהלך פעולות תגובה לאירועים במערכות ממשלתיות המשתמשות ב-Microsoft Exchange. GhostContainer נחשב כחלק מקמפיין מתוחכם ומתמשך של איומים מתמשכים (APT) המכוון לארגונים מרכזיים באזור אסיה, כולל חברות טכנולוגיה גדולות.

הקובץ הזדוני שהתגלה על ידי קספרסקי, בשם App_Web_Container_1.dll, הוא למעשה דלת אחורית רב-תכליתית שניתן להרחיב אותה על ידי הורדת מודולים נוספים מרחוק. התוכנה הזדונית מנצלת פרויקטים רבים בקוד פתוח ועברה התאמה אישית מתוחכמת כדי למנוע גילוי.

לאחר ש-GhostContainer מותקן בהצלחה במערכת, האקרים יכולים בקלות להשתלט לחלוטין על שרת Exchange, שממנו הם יכולים לבצע סדרה של פעולות מסוכנות מבלי שהמשתמש ידע. תוכנה זדונית זו מוסווית בחוכמה כרכיב תקין של השרת ומשתמשת בטכניקות רבות של התחמקות ממעקב כדי להימנע מגילוי על ידי תוכנות אנטי-וירוס ולעקוף מערכות ניטור אבטחה.

בנוסף, תוכנה זדונית זו יכולה לשמש כשרת פרוקסי או מנהרה מוצפנת, וליצור פרצות עבור האקרים לחדור למערכות פנימיות או לגנוב מידע רגיש. בהתבוננות על דרך פעולה זו, מומחים חושדים כי המטרה העיקרית של קמפיין זה היא ככל הנראה ריגול קיברנטי.

"הניתוח המעמיק שלנו מראה כי העבריינים מיומנים מאוד בחדירה למערכות שרת Microsoft Exchange. הם מנצלים מגוון כלי קוד פתוח כדי לחדור לסביבות IIS ו- Exchange , ומפתחים כלי ריגול מתוחכמים המבוססים על קוד קוד פתוח זמין. נמשיך לעקוב אחר פעילות הקבוצה, כמו גם אחר היקף וחומרת ההתקפות שלהם, כדי להבין טוב יותר את תמונת האיום הכוללת", אמר סרגיי לוז'קין, ראש צוות המחקר והניתוח הגלובלי (GReAT) לאסיה פסיפיק, המזרח התיכון ואפריקה בקספרסקי.

מקור: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html