GhostContainer: Új sebezhetőség támadja a Microsoft Exchange szervereket hátsó ajtós kártevőn keresztül.

A Kaspersky szerint jelenleg lehetetlen egyetlen konkrét hackercsoportot sem felelősségre vonni, mivel a támadók nem hagytak maguk után semmilyen beszivárgási jelet az infrastruktúrába.

A GReAT csapata egy Microsoft Exchange-et használó kormányzati rendszerek elleni incidensre reagálás során fedezte fel ezt a rosszindulatú programot. A GhostContainerről úgy vélik, hogy egy kifinomult és tartós, fejlett perzisztens fenyegetés (APT) része, amely kritikus ázsiai szervezeteket, köztük nagy technológiai vállalatokat céloz meg.

A Kaspersky által felfedezett kártékony fájl, az App_Web_Container_1.dll valójában egy többfunkciós hátsó ajtó, amely további modulok távoli betöltésével bővíthető és testreszabható. Ez a kártevő számos nyílt forráskódú projektet használ ki, és kifinomultan van testreszabva, hogy elkerülje az észlelést.

Kaspersky 1. fotó - GhostContainer felfedezése A Kaspersky egy új, a Microsoft Exchange szervereit célzó hátsó ajtót azonosított.jpg

Miután a GhostContainer sikeresen települt a rendszerre, a hackerek könnyen átvehetik az Exchange szerver teljes irányítását, ezáltal a felhasználó tudta nélkül veszélyes műveletek sorozatát hajthatják végre. Ez a rosszindulatú program ügyesen álcázza magát egy legitim szerverkomponensnek, és különféle technikákat alkalmaz a megfigyelés megkerülésére, hogy elkerülje a víruskereső szoftverek általi észlelést és megkerülje a biztonsági felügyeleti rendszereket.

Továbbá ez a rosszindulatú program proxy szerverként vagy titkosított alagútként is működhet, sebezhetőségeket hozva létre, amelyek lehetővé teszik a hackerek számára, hogy beszivárogjanak a belső rendszerekbe vagy bizalmas információkat lopjanak el. Ezt a működési módot tekintve a szakértők gyanítják, hogy a kampány elsődleges célja valószínűleg a kiberkémkedés.

Szergej Lozskin, a Kaspersky ázsiai- csendes-óceáni , valamint közel-keleti-afrikai régióért felelős globális kutatási és elemzési csapatának (GReAT) vezetője kijelentette: „Mélyreható elemzésünkből kiderül, hogy az elkövetők rendkívül ügyesek a Microsoft Exchange szerverekbe való behatolásban. Számos nyílt forráskódú eszközt használnak az IIS és az Exchange környezetekbe való behatoláshoz, és kifinomult kémeszközöket fejlesztenek ki a könnyen elérhető nyílt forráskódú kódok alapján. Továbbra is figyelemmel kísérjük a csoport tevékenységeit, valamint a támadások hatókörét és súlyosságát, hogy jobban megértsük az általános fenyegetettségi képet.”

A GhostContainer számos nyílt forráskódú projekt kódját használja, így rendkívül sebezhetővé válik a kiberbűnözői csoportok vagy az APT-kampányok általi kihasználással szemben a világ bármely pontján. Figyelemre méltó, hogy 2024 végére összesen 14 000 kártevőcsomagot észleltek nyílt forráskódú projektekben, ami 48%-os növekedést jelent 2023 végéhez képest. Ez a szám a növekvő kockázati szintet mutatja ezen a területen.

BINH LAM

Forrás: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html