Malware លាក់ខ្លួនក្នុង Microsoft Exchange៖ ចារកម្មតាមអ៊ីនធឺណិតដ៏ទំនើបដែលត្រូវបានរកឃើញ

យោងតាមក្រុមស្រាវជ្រាវ និងវិភាគសកល (GReAT) មេរោគ GhostContainer ត្រូវបានដំឡើងនៅក្នុងប្រព័ន្ធដោយប្រើប្រាស់ Microsoft Exchange ដែលជាផ្នែកមួយនៃយុទ្ធនាការរយៈពេលវែង ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) ដែលផ្តោតលើអង្គការសំខាន់ៗនៅក្នុងតំបន់អាស៊ី រួមទាំងក្រុមហ៊ុនបច្ចេកវិទ្យាធំៗផងដែរ។

GhostContainer ដែលលាក់នៅក្នុងឯកសារដែលមានឈ្មោះថា App_Web_Container_1.dll តាមពិតទៅគឺជា backdoor ពហុគោលបំណង។ វាមានសមត្ថភាពក្នុងការពង្រីកមុខងាររបស់វាដោយផ្ទុកម៉ូឌុលពីចម្ងាយបន្ថែម ហើយផ្អែកលើឧបករណ៍ប្រភពបើកចំហជាច្រើនប្រភេទ។ មេរោគនេះក្លែងខ្លួនវាជាធាតុផ្សំស្របច្បាប់នៃប្រព័ន្ធម៉ាស៊ីន ដោយប្រើបច្ចេកទេសគេចវេសដ៏ទំនើប ដើម្បីរំលងកម្មវិធីសុវត្ថិភាព និងប្រព័ន្ធត្រួតពិនិត្យ។

នៅពេលដែលនៅក្នុងប្រព័ន្ធមួយ GhostContainer អនុញ្ញាតឱ្យអ្នកវាយប្រហារគ្រប់គ្រងម៉ាស៊ីនមេ Exchange ។ វាអាចដើរតួជាប្រូកស៊ី ឬផ្លូវរូងក្រោមដីដែលបានអ៊ិនគ្រីប ដែលអនុញ្ញាតឱ្យមានការជ្រៀតចូលកាន់តែជ្រៅទៅក្នុងបណ្តាញខាងក្នុង ឬការលួចទិន្នន័យរសើបដោយមិនត្រូវបានរកឃើញ។ សកម្មភាពទាំងនេះបាននាំឱ្យអ្នកជំនាញសង្ស័យថាយុទ្ធនាការនេះកំពុងបម្រើគោលបំណងចារកម្មតាមអ៊ីនធឺណិត។

លោក Sergey Lozhkin ប្រធាន GReAT Asia- Pacific និង Middle East-Africa របស់ Kaspersky បាននិយាយថា ក្រុមនៅពីក្រោយ GhostContainer មានចំណេះដឹងច្រើនអំពី Exchange និង IIS server environments។ ពួកគេប្រើកូដប្រភពបើកចំហដើម្បីបង្កើតឧបករណ៍វាយប្រហារដ៏ទំនើប ខណៈពេលដែលជៀសវាងដានជាក់ស្តែង ដែលធ្វើឱ្យវាពិបាកក្នុងការតាមដានប្រភព។

វាមិនទាន់អាចកំណត់ថាតើក្រុមណានៅពីក្រោយយុទ្ធនាការនេះទេ ដោយសារមេរោគប្រើកូដពីគម្រោងប្រភពបើកចំហជាច្រើន ដែលមានន័យថា វាទំនងជាត្រូវបានកេងប្រវ័ញ្ចយ៉ាងទូលំទូលាយដោយក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងៗគ្នាជាច្រើនជុំវិញពិភពលោក។ គួរកត់សម្គាល់ថា បើយោងតាមស្ថិតិ នៅចុងឆ្នាំ 2024 កញ្ចប់មេរោគប្រមាណ 14,000 ត្រូវបានរកឃើញនៅក្នុងគម្រោងប្រភពបើកចំហ កើនឡើង 48% បើប្រៀបធៀបទៅនឹងចុងឆ្នាំ 2023 ដែលបង្ហាញថាហានិភ័យសុវត្ថិភាពពីប្រភពបើកចំហកាន់តែធ្ងន់ធ្ងរ។

ប្រភព៖ https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm