GReATチームは、Microsoft Exchangeを使用した政府システムへのインシデント対応中にこのマルウェアを発見しました。GhostContainerは、大手テクノロジー企業を含むアジアの重要組織を標的とした、高度かつ持続的なAPT攻撃キャンペーンの一部であると考えられています。
カスペルスキーが発見した悪意のあるファイル「App_Web_Container_1.dll」は、実際には多機能バックドアであり、リモートから追加モジュールをロードすることで拡張・カスタマイズが可能です。このマルウェアは多数のオープンソースプロジェクトを活用し、検出を回避するために巧妙にカスタマイズされています。
GhostContainerがシステムにインストールされると、ハッカーは簡単にExchangeサーバーを完全に制御し、ユーザーに気付かれずに一連の危険な動作を実行できるようになります。このマルウェアは、正規のサーバーコンポーネントを巧妙に偽装し、様々な手法を用いて監視を回避し、ウイルス対策ソフトウェアによる検出やセキュリティ監視システムのバイパスを回避します。
さらに、このマルウェアはプロキシサーバーや暗号化トンネルとして機能するため、ハッカーが内部システムに侵入したり機密情報を盗んだりできる脆弱性を作り出します。この手口から、専門家はこのキャンペーンの主な目的はサイバースパイ活動である可能性が高いと推測しています。
カスペルスキーのアジア太平洋および中東・アフリカ地域グローバル調査分析チーム(GReAT)責任者であるセルゲイ・ロズキン氏は次のように述べています。「詳細な分析により、攻撃者はMicrosoft Exchangeサーバーへの侵入に非常に長けていることが明らかになりました。彼らはIISおよびExchange環境に侵入するために多数のオープンソースツールを活用し、容易に入手可能なオープンソースコードに基づいて高度なスパイツールを開発しています。私たちは、脅威の全体像をより深く理解するため、このグループの活動、攻撃の範囲、深刻度を継続的に監視していきます。」
GhostContainerは多数のオープンソースプロジェクトのコードを使用しているため、 世界中のサイバー犯罪グループやAPT攻撃による悪用に対して非常に脆弱です。特に、2024年末までにオープンソースプロジェクトで検出されたマルウェアパッケージは合計14,000個に達し、2023年末と比較して48%増加しました。この数字は、この分野におけるリスクレベルの上昇を示しています。
出典: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[画像] 2025年コミュニティアクションアワード授賞式を前に流出した画像。](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F16%2F1765882828720_ndo_br_thiet-ke-chua-co-ten-45-png.webp&w=3840&q=75)
![[ライブ] 2025年コミュニティアクションアワードガラ](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F16%2F1765899631650_ndo_tr_z7334013144784-9f9fe10a6d63584c85aff40f2957c250-jpg.webp&w=3840&q=75)
コメント (0)