Tim GReAT menemukan malware tersebut selama upaya respons insiden di sistem pemerintah yang menggunakan Microsoft Exchange. GhostContainer diyakini sebagai bagian dari kampanye ancaman persisten tingkat lanjut (APT) yang canggih dan persisten yang menargetkan organisasi-organisasi penting di kawasan Asia, termasuk perusahaan-perusahaan teknologi besar.
Berkas berbahaya yang ditemukan Kaspersky, bernama App_Web_Container_1.dll, sebenarnya merupakan pintu belakang multifungsi yang dapat diperluas dengan mengunduh modul tambahan dari jarak jauh. Malware ini memanfaatkan banyak proyek sumber terbuka dan dikustomisasi secara canggih untuk menghindari deteksi.
Setelah GhostContainer berhasil diinstal pada sistem, peretas dapat dengan mudah menguasai sepenuhnya server Exchange, yang darinya mereka dapat melakukan serangkaian tindakan berbahaya tanpa sepengetahuan pengguna. Malware ini dengan cerdik menyamar sebagai komponen server yang valid dan menggunakan berbagai teknik penghindaran pengawasan untuk menghindari deteksi perangkat lunak antivirus dan menerobos sistem pemantauan keamanan.
Selain itu, malware ini dapat bertindak sebagai server perantara (proxy) atau terowongan terenkripsi (tunnel), yang menciptakan celah bagi peretas untuk menembus sistem internal atau mencuri informasi sensitif. Melihat cara operasi ini, para ahli menduga bahwa tujuan utama kampanye ini kemungkinan besar adalah spionase siber.
Analisis mendalam kami menunjukkan bahwa para pelaku sangat mahir dalam menembus server Microsoft Exchange. Mereka memanfaatkan berbagai alat sumber terbuka untuk menembus lingkungan IIS dan Exchange , dan telah mengembangkan alat mata-mata canggih berdasarkan kode sumber terbuka yang tersedia. Kami akan terus memantau aktivitas kelompok ini, serta cakupan dan tingkat keparahan serangan mereka, untuk lebih memahami lanskap ancaman secara keseluruhan,” ujar Sergey Lozhkin, Kepala Tim Riset dan Analisis Global (GReAT) untuk Asia Pasifik, Timur Tengah, dan Afrika di Kaspersky.
GhostContainer menggunakan kode dari beberapa proyek sumber terbuka, sehingga sangat rentan terhadap kelompok penjahat siber atau kampanye APT di seluruh dunia . Perlu dicatat, pada akhir tahun 2024, total 14.000 paket malware terdeteksi dalam proyek sumber terbuka, meningkat 48% dibandingkan akhir tahun 2023. Angka ini menunjukkan bahwa tingkat risiko di lapangan semakin meningkat.
Sumber: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Foto] Presiden Luong Cuong menerima Ketua Parlemen Selandia Baru Gerry Brownlee](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/29/7accfe1f5d85485da58b0a61d35dc10f)
Komentar (0)