Menurut Tim Riset dan Analisis Global (GReAT), malware GhostContainer dipasang dalam sistem yang menggunakan Microsoft Exchange, sebagai bagian dari kampanye ancaman persisten tingkat lanjut (APT) jangka panjang yang menargetkan organisasi-organisasi utama di kawasan Asia, termasuk perusahaan-perusahaan teknologi besar.
GhostContainer, yang tersembunyi dalam berkas bernama App_Web_Container_1.dll, sebenarnya merupakan pintu belakang serbaguna. Ia mampu memperluas fungsinya dengan memuat modul jarak jauh tambahan dan didasarkan pada berbagai perangkat lunak sumber terbuka. Malware ini menyamar sebagai komponen sah dari sistem host, menggunakan teknik penghindaran yang canggih untuk menerobos perangkat lunak keamanan dan sistem pemantauan.
Setelah berada di dalam sistem, GhostContainer memungkinkan penyerang untuk mengendalikan server Exchange. GhostContainer dapat bertindak sebagai proksi atau terowongan terenkripsi, memungkinkan mereka menembus lebih dalam ke jaringan internal atau mencuri data sensitif tanpa terdeteksi. Tindakan-tindakan ini telah membuat para ahli menduga bahwa kampanye ini bertujuan untuk spionase siber.
Sergey Lozhkin, Kepala Tim GReAT Kaspersky untuk Asia Pasifik dan Timur Tengah dan Afrika, mengatakan bahwa tim di balik GhostContainer sangat berpengalaman dalam lingkungan server Exchange dan IIS. Mereka menggunakan kode sumber terbuka untuk mengembangkan perangkat serangan canggih sekaligus menghindari jejak yang jelas, sehingga sangat sulit untuk melacak asal-usulnya.
Saat ini belum jelas kelompok mana yang berada di balik kampanye ini, karena malware tersebut menggunakan kode dari berbagai proyek sumber terbuka – yang berarti kemungkinan besar digunakan secara luas oleh berbagai kelompok penjahat siber di seluruh dunia. Menariknya, menurut statistik, pada akhir tahun 2024, sekitar 14.000 paket malware terdeteksi dalam proyek sumber terbuka, meningkat 48% dibandingkan akhir tahun 2023 – menunjukkan bahwa risiko keamanan dari sumber terbuka semakin serius.
Untuk mengurangi risiko menjadi korban serangan siber yang ditargetkan, bisnis harus membekali tim operasi keamanan mereka dengan akses ke sumber intelijen ancaman terkini, menurut Kaspersky.
Meningkatkan keterampilan tim keamanan siber sangat penting untuk meningkatkan kemampuan mereka dalam mendeteksi dan merespons serangan canggih. Perusahaan juga harus menerapkan solusi deteksi dan pemecahan masalah titik akhir, yang dipadukan dengan alat pemantauan dan perlindungan tingkat jaringan.
Selain itu, karena banyak serangan dimulai dengan email phishing atau bentuk penipuan psikologis lainnya, organisasi perlu secara berkala memberikan pelatihan kesadaran keamanan kepada karyawan. Investasi terkoordinasi dalam teknologi, sumber daya manusia, dan proses merupakan kunci untuk membantu bisnis memperkuat pertahanan mereka terhadap ancaman yang semakin kompleks.
Sumber: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
Komentar (0)