グローバル調査分析チーム(GReAT)によると、GhostContainer マルウェアは、大手テクノロジー企業を含むアジア地域の主要組織を標的とした長期にわたる高度な持続的脅威(APT)キャンペーンの一環として、Microsoft Exchange を使用するシステムにインストールされました。
App_Web_Container_1.dllというファイルに隠されたGhostContainerは、実際には多目的なバックドアです。追加のリモートモジュールをロードすることで機能を拡張することができ、様々なオープンソースツールを基盤としています。このマルウェアは、高度な回避技術を用いてセキュリティソフトウェアや監視システムを回避し、ホストシステムの正規のコンポーネントに偽装します。
GhostContainerはシステムに侵入すると、攻撃者がExchangeサーバーを制御できるようにします。プロキシや暗号化されたトンネルとして機能し、内部ネットワークへのより深い侵入や、検知されずに機密データの窃取を可能にします。これらの動作から、専門家はこのキャンペーンがサイバースパイ活動を目的としているのではないかと疑っています。
カスペルスキーのアジア太平洋および中東アフリカ地域GReAT責任者であるセルゲイ・ロズキン氏は、GhostContainerの背後にいるグループはExchangeおよびIISサーバー環境について非常に深い知識を持っていると述べています。彼らはオープンソースコードを用いて高度な攻撃ツールを開発しながらも、明白な痕跡を残さないため、ソースの追跡が非常に困難になっています。
このマルウェアは多くのオープンソースプロジェクトのコードを使用しているため、このキャンペーンの背後にいるグループを特定することはできません。つまり、世界中の様々なサイバー犯罪グループによって広く悪用される可能性が高いということです。特に、統計によると、2024年末までにオープンソースプロジェクトで約14,000個のマルウェアパッケージが検出されており、これは2023年末と比較して48%増加しており、オープンソースに起因するセキュリティリスクがますます深刻化していることを示しています。
カスペルスキーによると、標的型サイバー攻撃の被害に遭うリスクを減らすには、企業はセキュリティ運用チームに最新の脅威インテリジェンスリソースへのアクセスを提供する必要がある。
高度な攻撃を検知し、対応する能力を高めるには、サイバーセキュリティチームのスキルアップが不可欠です。企業は、エンドポイント検出およびトラブルシューティングソリューションに加え、ネットワークレベルの監視および保護ツールも導入する必要があります。
さらに、多くの攻撃はフィッシングメールやその他の心理的欺瞞から始まるため、組織は従業員に定期的にセキュリティ意識向上のためのトレーニングを提供する必要があります。テクノロジー、人材、そしてプロセスへの全面的な投資は、ますます巧妙化する脅威に対する企業の防御力強化の鍵となります。
出典: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
コメント (0)