GReATチームは、Microsoft Exchangeを使用している政府システムへのインシデント対応中にこのマルウェアを発見しました。GhostContainerは、大手テクノロジー企業を含むアジア地域の主要組織を標的とした、高度かつ持続的なAPT攻撃キャンペーンの一部であると考えられています。
カスペルスキーが発見した悪意のあるファイル「App_Web_Container_1.dll」は、実際には多機能なバックドアであり、リモートから追加モジュールをダウンロードすることで拡張可能です。このマルウェアは多くのオープンソースプロジェクトを悪用し、検出を回避するために巧妙にカスタマイズされています。
GhostContainerがシステムにインストールされると、ハッカーは簡単にExchangeサーバーを完全に制御し、ユーザーに気付かれずに一連の危険な操作を実行できるようになります。このマルウェアは、正規のサーバーコンポーネントを巧妙に偽装し、多くの監視回避技術を用いてウイルス対策ソフトウェアによる検出を回避し、セキュリティ監視システムを回避します。
さらに、このマルウェアは中間サーバー(プロキシ)や暗号化されたトンネル(トンネル)として機能し、ハッカーが内部システムに侵入したり機密情報を盗んだりするための抜け穴を作り出します。このような動作を見ると、専門家はこのキャンペーンの主な目的はサイバースパイ活動である可能性が高いと推測しています。
「当社の詳細な分析により、攻撃者はMicrosoft Exchangeサーバーへの侵入に非常に長けていることが明らかになりました。彼らはIISおよびExchange環境に侵入するために様々なオープンソースツールを活用し、入手可能なオープンソースコードに基づいて高度なスパイツールを開発しています。私たちは、脅威の全体像をより深く理解するために、このグループの活動、そして攻撃の範囲と深刻さを継続的に監視していきます」と、カスペルスキーのアジア太平洋地域および中東・アフリカ地域グローバル調査分析チーム(GReAT)責任者であるセルゲイ・ロズキン氏は述べています。
GhostContainerは複数のオープンソースプロジェクトのコードを使用しているため、 世界中のサイバー犯罪者グループやAPT攻撃に対して非常に脆弱です。特に、2024年末までにオープンソースプロジェクトで検出されたマルウェアパッケージは合計14,000個に上り、2023年末から48%増加しました。この数字は、この分野におけるリスクレベルが上昇していることを示しています。
出典: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
コメント (0)