Microsoft Exchange-ben rejtett kártevő: kifinomult kiberkémkedésre bukkantak

A Globális Kutató- és Elemző Csoport (GReAT) szerint a GhostContainer rosszindulatú programot a Microsoft Exchange-et használó rendszerekre telepítették egy hosszú távú, fejlett perzisztens fenyegetés (APT) kampány részeként, amely az ázsiai régió kulcsfontosságú szervezeteit, köztük a nagy technológiai vállalatokat vette célba.

Mã độc ẩn mình trong Microsoft Exchange: Phát hiện gián điệp mạng tinh vi- Ảnh 1.

A GhostContainer, amely az App_Web_Container_1.dll nevű fájlban rejtőzik, valójában egy többcélú hátsó ajtó. Képes további távoli modulok betöltésével bővíteni funkcionalitását, és számos nyílt forráskódú eszközön alapul. A rosszindulatú program a gazdarendszer legitim összetevőjeként álcázza magát, kifinomult megkerülési technikákat használva a biztonsági szoftverek és a megfigyelő rendszerek megkerülésére.

A rendszerbe jutás után a GhostContainer lehetővé teszi a támadók számára, hogy átvegyék az irányítást az Exchange szerverek felett. Proxyként vagy titkosított alagútként is működhet, lehetővé téve számukra, hogy mélyebbre hatoljanak be a belső hálózatba, vagy érzékeny adatokat lopjanak el észrevétlenül. Ezek a tevékenységek arra a gyanúra vezették a szakértőket, hogy a kampány kiberkémkedési célokat szolgál.

Szergej Lozskin, a Kaspersky GReAT ázsiai- csendes-óceáni és közel-keleti afrikai csapatának vezetője elmondta, hogy a GhostContainer mögött álló csoport nagyon jártas az Exchange és az IIS szerverkörnyezetekben. Nyílt forráskódot használnak kifinomult támadási eszközök fejlesztéséhez, miközben elkerülik a nyilvánvaló nyomokat, így nagyon nehéz nyomon követni az eredetet.

Jelenleg nem világos, hogy melyik csoport áll a kampány mögött, mivel a rosszindulatú program több nyílt forráskódú projektből származó kódot használ – ami azt jelenti, hogy valószínűleg széles körben használják majd különféle kiberbűnözői csoportok világszerte. Figyelemre méltó, hogy a statisztikák szerint 2024 végére körülbelül 14 000 rosszindulatú programcsomagot észleltek nyílt forráskódú projektekben, ami 48%-os növekedést jelent 2023 végéhez képest – ami azt mutatja, hogy a nyílt forráskódú szoftverekből származó biztonsági kockázatok egyre komolyabbak.

A Kaspersky szerint a célzott kibertámadások áldozatává válás kockázatának csökkentése érdekében a vállalkozásoknak fel kell szerelniük biztonsági műveleti csapataikat a naprakész fenyegetésekkel kapcsolatos információforrásokhoz való hozzáféréssel.

A kiberbiztonsági csapatok továbbképzése elengedhetetlen ahhoz, hogy növeljék a kifinomult támadások észlelésére és kezelésére való képességüket. A vállalkozásoknak végpont-észlelési és hibaelhárítási megoldásokat is be kell vezetniük, hálózati szintű monitorozási és védelmi eszközökkel kombinálva.

Továbbá, mivel sok támadás adathalász e-mailekkel vagy más pszichológiai megtévesztési formákkal kezdődik, a szervezeteknek rendszeresen biztonsági tudatossági képzést kell nyújtaniuk alkalmazottaiknak. A technológiába, az emberekbe és a folyamatokba történő összehangolt befektetés kulcsfontosságú ahhoz, hogy a vállalkozások megerősíthessék védelmüket az egyre összetettebb fenyegetésekkel szemben.

Forrás: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm