Menurut Pasukan Penyelidikan dan Analisis Global (GReAT), perisian hasad GhostContainer telah dipasang dalam sistem menggunakan Microsoft Exchange, sebagai sebahagian daripada kempen ancaman berterusan (APT) jangka panjang yang menyasarkan organisasi utama di rantau Asia, termasuk syarikat teknologi utama.
GhostContainer, tersembunyi dalam fail bernama App_Web_Container_1.dll, sebenarnya adalah pintu belakang pelbagai guna. Ia mampu melanjutkan fungsinya dengan memuatkan modul jauh tambahan dan berdasarkan pelbagai alat sumber terbuka. Malware menyamar sebagai komponen sah sistem hos, menggunakan teknik pengelakan yang canggih untuk memintas perisian keselamatan dan sistem pemantauan.
Setelah berada dalam sistem, GhostContainer membenarkan penyerang untuk mengawal pelayan Exchange. Ia boleh bertindak sebagai proksi atau terowong yang disulitkan, membolehkan mereka menembusi lebih dalam ke dalam rangkaian dalaman atau mencuri data sensitif tanpa dikesan. Tindakan ini telah menyebabkan pakar mengesyaki bahawa kempen itu menyediakan tujuan pengintipan siber.
Sergey Lozhkin, Ketua pasukan GREAT Asia Pasifik dan Afrika Timur Tengah Kaspersky, berkata bahawa kumpulan di sebalik GhostContainer sangat berpengetahuan tentang persekitaran pelayan Exchange dan IIS. Mereka menggunakan kod sumber terbuka untuk membangunkan alat serangan yang canggih sambil mengelakkan kesan yang jelas, menjadikannya sangat sukar untuk mengesan asal.
Pada masa ini tidak jelas kumpulan mana yang berada di sebalik kempen ini, kerana perisian hasad menggunakan kod daripada berbilang projek sumber terbuka - bermakna ia mungkin digunakan secara meluas oleh pelbagai kumpulan penjenayah siber di seluruh dunia. Secara ketara, mengikut statistik, menjelang akhir tahun 2024, kira-kira 14,000 pakej perisian hasad telah dikesan dalam projek sumber terbuka, peningkatan sebanyak 48% berbanding akhir tahun 2023 – menunjukkan bahawa risiko keselamatan daripada sumber terbuka menjadi semakin serius.
Untuk mengurangkan risiko menjadi mangsa serangan siber yang disasarkan, perniagaan harus melengkapkan pasukan operasi keselamatan mereka dengan akses kepada sumber risikan ancaman yang terkini, menurut Kaspersky.
Meningkatkan kemahiran pasukan keselamatan siber adalah penting untuk meningkatkan keupayaan mereka untuk mengesan dan bertindak balas terhadap serangan yang canggih. Perniagaan juga harus menggunakan pengesanan titik akhir dan penyelesaian masalah, digabungkan dengan alat pemantauan dan perlindungan peringkat rangkaian.
Selain itu, memandangkan banyak serangan bermula dengan e-mel pancingan data atau bentuk penipuan psikologi yang lain, organisasi perlu kerap memberikan latihan kesedaran keselamatan kepada pekerja. Pelaburan yang diselaraskan dalam teknologi, manusia dan proses adalah kunci untuk membantu perniagaan mengukuhkan pertahanan mereka terhadap ancaman yang semakin kompleks.
Sumber: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
Komen (0)