ທີມງານ GReAT ຄົ້ນພົບ malware ໃນລະຫວ່າງການປະຕິບັດການຕອບໂຕ້ເຫດການໃນລະບົບ ຂອງລັດຖະບານ ທີ່ໃຊ້ Microsoft Exchange. ເຊື່ອກັນວ່າ GhostContainer ເປັນສ່ວນໜຶ່ງຂອງແຄມເປນການຂົ່ມຂູ່ຕໍ່ເນື່ອງ (APT) ທີ່ມີຄວາມຊັບຊ້ອນ ແລະ ຄົງຕົວທີ່ແນໃສ່ອົງການຈັດຕັ້ງທີ່ສຳຄັນໃນພາກພື້ນອາຊີ, ລວມທັງບໍລິສັດເຕັກໂນໂລຢີໃຫຍ່ໆ.
ໄຟລ໌ອັນຕະລາຍທີ່ຄົ້ນພົບໂດຍ Kaspersky, ເອີ້ນວ່າ App_Web_Container_1.dll, ຕົວຈິງແລ້ວແມ່ນເປັນ backdoor ຫຼາຍຫນ້າທີ່ສາມາດຂະຫຍາຍໄດ້ໂດຍການດາວໂຫລດໂມດູນເພີ່ມເຕີມຈາກໄລຍະໄກ. ມັລແວໃຊ້ປະໂຫຍດຈາກຫຼາຍໂຄງການແຫຼ່ງເປີດ ແລະຖືກປັບແຕ່ງຢ່າງສະຫຼາດເພື່ອຫຼີກເວັ້ນການກວດພົບ.
ເມື່ອ GhostContainer ຖືກຕິດຕັ້ງຢ່າງສໍາເລັດຜົນໃນລະບົບ, ແຮກເກີສາມາດຄວບຄຸມເຄື່ອງແມ່ຂ່າຍຂອງ Exchange ໄດ້ຢ່າງງ່າຍດາຍ, ເຊິ່ງພວກເຂົາສາມາດປະຕິບັດຊຸດອັນຕະລາຍໂດຍຜູ້ໃຊ້ບໍ່ຮູ້. ມັລແວນີ້ຖືກປອມຕົວຢ່າງສະຫຼາດເປັນອົງປະກອບທີ່ຖືກຕ້ອງຂອງເຊີບເວີ ແລະໃຊ້ເທັກນິກການຫຼົບຫຼີກການເຝົ້າລະວັງຫຼາຍຢ່າງເພື່ອຫຼີກເວັ້ນການກວດພົບໂດຍຊອບແວຕ້ານໄວຣັສ ແລະຂ້າມລະບົບການຕິດຕາມຄວາມປອດໄພ.
ນອກຈາກນັ້ນ, malware ນີ້ສາມາດເຮັດຫນ້າທີ່ເປັນເຄື່ອງແມ່ຂ່າຍຂອງຕົວແທນຫຼືອຸໂມງທີ່ຖືກເຂົ້າລະຫັດ, ສ້າງຊ່ອງຫວ່າງສໍາລັບແຮກເກີທີ່ຈະເຈາະລະບົບພາຍໃນຫຼືລັກເອົາຂໍ້ມູນທີ່ລະອຽດອ່ອນ. ຊອກຫາວິທີການປະຕິບັດງານນີ້, ຜູ້ຊ່ຽວຊານສົງໃສວ່າຈຸດປະສົງຕົ້ນຕໍຂອງແຄມເປນນີ້ແມ່ນມີແນວໂນ້ມທີ່ຈະເປັນ cyber spiionage.
"ການວິເຄາະແບບເລິກເຊິ່ງຂອງພວກເຮົາສະແດງໃຫ້ເຫັນວ່າຜູ້ກະທໍາຜິດມີຄວາມຊໍານິຊໍານານສູງໃນການເຈາະລະບົບເຊີບເວີ Microsoft Exchange. ພວກເຂົາໃຊ້ເຄື່ອງມື open source ຕ່າງໆເພື່ອເຈາະສະພາບແວດລ້ອມ IIS ແລະ Exchange , ແລະພັດທະນາເຄື່ອງມືສອດແນມທີ່ຊັບຊ້ອນໂດຍອີງໃສ່ລະຫັດແຫຼ່ງເປີດທີ່ມີຢູ່. ພວກເຮົາຈະສືບຕໍ່ຕິດຕາມກິດຈະກໍາຂອງກຸ່ມ, ເຊັ່ນດຽວກັນກັບຂອບເຂດແລະຄວາມຮຸນແຮງຂອງການໂຈມຕີໂດຍລວມຂອງພວກເຂົາ, ເພື່ອເຂົ້າໃຈ Sergey, ການຄົ້ນຄວ້າແລະ Sergey zh. ທີມງານການວິເຄາະ (GReAT) ສໍາລັບອາຊີປາຊີຟິກແລະຕາເວັນອອກກາງແລະອາຟຣິກາທີ່ Kaspersky.
GhostContainer ໃຊ້ລະຫັດຈາກຫຼາຍໂຄງການແຫຼ່ງເປີດ, ເຮັດໃຫ້ມັນມີຄວາມສ່ຽງຢ່າງເຕັມສ່ວນກັບກຸ່ມອາຊະຍາກໍາທາງອິນເຕີເນັດຫຼືແຄມເປນ APT ທຸກບ່ອນໃນ ໂລກ . ໂດຍສະເພາະ, ໃນທ້າຍປີ 2024, ຈໍານວນແພັກເກັດ malware ທັງຫມົດ 14,000 ໄດ້ຖືກກວດພົບໃນໂຄງການແຫຼ່ງເປີດ, ເພີ່ມຂຶ້ນ 48% ຈາກທ້າຍປີ 2023. ຕົວເລກນີ້ສະແດງໃຫ້ເຫັນວ່າລະດັບຄວາມສ່ຽງແມ່ນເພີ່ມຂຶ້ນໃນພາກສະຫນາມ.
ທີ່ມາ: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
(0)