GReAT 팀은 Microsoft Exchange를 사용하는 정부 시스템에서 사고 대응 활동을 진행하던 중 이 악성코드를 발견했습니다. GhostContainer는 주요 기술 기업을 포함한 아시아 지역의 주요 조직을 표적으로 삼는 정교하고 지속적인 지능형 지속 위협(APT) 캠페인의 일부로 추정됩니다.
카스퍼스키가 발견한 App_Web_Container_1.dll이라는 악성 파일은 실제로는 원격으로 추가 모듈을 다운로드하여 확장할 수 있는 다기능 백도어입니다. 이 악성코드는 다양한 오픈소스 프로젝트를 활용하며, 탐지를 피하기 위해 정교하게 맞춤 설정되었습니다.
GhostContainer가 시스템에 성공적으로 설치되면 해커는 Exchange 서버를 완전히 장악하여 사용자 모르게 일련의 위험한 작업을 수행할 수 있습니다. 이 악성코드는 정상적인 서버 구성 요소로 교묘하게 위장하며, 다양한 감시 회피 기법을 사용하여 바이러스 백신 소프트웨어의 탐지를 피하고 보안 모니터링 시스템을 우회합니다.
또한, 이 악성코드는 중개 서버(프록시) 또는 암호화된 터널(터널) 역할을 하여 해커가 내부 시스템에 침투하거나 민감한 정보를 훔칠 수 있는 허점을 만들 수 있습니다. 이러한 작동 방식을 고려할 때, 전문가들은 이 캠페인의 주요 목적이 사이버 간첩 활동일 가능성이 높다고 추정합니다.
카스퍼스키랩 아시아 태평양 및 중동·아프리카 지역 글로벌 조사 분석팀(GReAT) 책임자인 세르게이 로즈킨은 "심층 분석 결과, 공격자들은 Microsoft Exchange 서버 침투에 매우 능숙한 것으로 나타났습니다. 이들은 다양한 오픈소스 도구를 활용하여 IIS 및 Exchange 환경에 침투하고, 사용 가능한 오픈소스 코드를 기반으로 정교한 스파이 도구를 개발했습니다. 카스퍼스키랩은 이 그룹의 활동과 공격 범위 및 심각도를 지속적으로 모니터링하여 전반적인 위협 환경을 더욱 잘 파악할 것입니다."라고 밝혔습니다.
GhostContainer는 여러 오픈소스 프로젝트의 코드를 사용하기 때문에 전 세계 사이버 범죄 조직이나 APT 공격에 매우 취약합니다. 특히 2024년 말까지 오픈소스 프로젝트에서 총 14,000개의 맬웨어 패키지가 탐지되었는데, 이는 2023년 말 대비 48% 증가한 수치입니다. 이는 해당 분야의 위험 수준이 증가하고 있음을 보여줍니다.
출처: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
댓글 (0)