글로벌 연구 및 분석 팀(GReAT)에 따르면 GhostContainer 맬웨어는 아시아 지역의 주요 기술 회사를 포함한 주요 조직을 표적으로 삼는 장기적인 지능형 지속 위협(APT) 캠페인의 일환으로 Microsoft Exchange를 사용하는 시스템에 설치되었습니다.
App_Web_Container_1.dll이라는 파일에 숨겨진 GhostContainer는 실제로는 다목적 백도어입니다. 추가 원격 모듈을 로드하여 기능을 확장할 수 있으며, 다양한 오픈소스 도구를 기반으로 합니다. 이 악성코드는 호스트 시스템의 합법적인 구성 요소로 위장하여 정교한 우회 기술을 사용하여 보안 소프트웨어와 모니터링 시스템을 우회합니다.
GhostContainer는 시스템 내부에 침투하면 공격자가 Exchange 서버를 장악할 수 있도록 합니다. 프록시 또는 암호화된 터널 역할을 하여 내부 네트워크에 더 깊이 침투하거나 발각되지 않고 민감한 데이터를 훔칠 수 있습니다. 이러한 활동으로 인해 전문가들은 이 캠페인이 사이버 간첩 목적으로 활용되고 있다고 의심하고 있습니다.
카스퍼스키랩 아시아 태평양 및 중동-아프리카 GReAT 책임자인 세르게이 로즈킨은 GhostContainer의 배후 세력이 Exchange 및 IIS 서버 환경에 대한 해박한 지식을 보유하고 있다고 밝혔습니다. 이들은 오픈소스 코드를 사용하여 정교한 공격 도구를 개발하는 동시에, 명백한 흔적을 피함으로써 출처 추적을 매우 어렵게 만듭니다.
이 캠페인의 배후에 어떤 조직이 있는지 아직 파악하기 어렵습니다. 이 악성코드는 여러 오픈소스 프로젝트의 코드를 사용하기 때문입니다. 즉, 전 세계 여러 사이버 범죄 조직이 이 악성코드를 광범위하게 악용할 가능성이 높습니다. 특히 통계에 따르면 2024년 말까지 오픈소스 프로젝트에서 약 14,000개의 악성코드 패키지가 탐지되었는데, 이는 2023년 말 대비 48% 증가한 수치입니다. 이는 오픈소스로 인한 보안 위험이 점점 더 심각해지고 있음을 보여줍니다.
카스퍼스키에 따르면, 기업은 타깃형 사이버 공격의 희생자가 될 위험을 줄이기 위해 보안 운영팀에 최신 위협 인텔리전스 리소스에 대한 접근 권한을 제공해야 합니다.
사이버 보안 팀의 역량을 강화하는 것은 정교한 공격을 탐지하고 대응하는 능력을 향상시키는 데 필수적입니다. 기업은 또한 네트워크 수준의 모니터링 및 보호 도구와 결합된 엔드포인트 탐지 및 문제 해결 솔루션을 구축해야 합니다.
또한, 많은 공격이 피싱 이메일이나 기타 심리적 기만에서 시작되므로 기업은 직원들에게 정기적인 보안 인식 교육을 제공해야 합니다. 기술, 인력, 그리고 프로세스 전반에 대한 투자는 기업이 점점 더 정교해지는 위협에 대한 방어력을 강화하는 데 매우 중요합니다.
출처: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
댓글 (0)