Pasukan GREAT menemui perisian hasad semasa operasi tindak balas insiden pada sistem kerajaan yang menggunakan Microsoft Exchange. GhostContainer dipercayai menjadi sebahagian daripada kempen ancaman berterusan maju (APT) canggih dan berterusan yang menyasarkan organisasi utama di rantau Asia, termasuk syarikat teknologi utama.
Fail berniat jahat yang ditemui oleh Kaspersky, dipanggil App_Web_Container_1.dll, sebenarnya adalah pintu belakang berbilang fungsi yang boleh dilanjutkan dengan memuat turun modul tambahan dari jauh. Malware mengambil kesempatan daripada banyak projek sumber terbuka dan disesuaikan dengan canggih untuk mengelakkan pengesanan.
Setelah GhostContainer berjaya dipasang pada sistem, penggodam boleh mengawal sepenuhnya pelayan Exchange dengan mudah, yang mana mereka boleh melakukan satu siri tindakan berbahaya tanpa diketahui oleh pengguna. Malware ini secara bijak menyamar sebagai komponen pelayan yang sah dan menggunakan banyak teknik pengelakan pengawasan untuk mengelakkan pengesanan oleh perisian anti-virus dan memintas sistem pemantauan keselamatan.
Selain itu, perisian hasad ini boleh bertindak sebagai pelayan proksi atau terowong yang disulitkan, mewujudkan kelemahan untuk penggodam untuk menembusi sistem dalaman atau mencuri maklumat sensitif. Melihat kepada cara operasi ini, pakar mengesyaki bahawa tujuan utama kempen ini mungkin adalah pengintipan siber.
"Analisis mendalam kami menunjukkan bahawa pelakunya sangat mahir dalam menembusi sistem pelayan Microsoft Exchange. Mereka memanfaatkan pelbagai alat sumber terbuka untuk menembusi persekitaran IIS dan Exchange , dan membangunkan alat pengintipan yang canggih berdasarkan kod sumber terbuka yang tersedia. Kami akan terus memantau aktiviti kumpulan, serta skop dan keterukan serangan mereka, untuk lebih memahami gambaran keseluruhan Pasukan Penyelidikan, Sergey dan Ketua Penyelidik Lozhkin. (GReAT) untuk Asia Pasifik dan Timur Tengah dan Afrika di Kaspersky.
GhostContainer menggunakan kod daripada berbilang projek sumber terbuka, menjadikannya terdedah sepenuhnya kepada kumpulan penjenayah siber atau kempen APT di mana-mana sahaja di dunia . Terutama, menjelang akhir tahun 2024, sejumlah 14,000 pakej perisian hasad telah dikesan dalam projek sumber terbuka, meningkat 48% daripada penghujung tahun 2023. Jumlah ini menunjukkan bahawa tahap risiko semakin meningkat di lapangan.
Sumber: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
Komen (0)