Volgens het Global Research and Analysis Team (GReAT) werd de GhostContainer-malware geïnstalleerd op systemen die Microsoft Exchange gebruiken, als onderdeel van een langdurige, geavanceerde persistente dreigingscampagne (APT) die gericht was op belangrijke organisaties in de regio Azië, waaronder grote technologiebedrijven.
GhostContainer, verborgen in een bestand met de naam App_Web_Container_1.dll, is in feite een multifunctionele backdoor. Het kan zijn functionaliteit uitbreiden door extra externe modules te laden en is gebaseerd op diverse open-sourcetools. De malware vermomt zich als een legitiem onderdeel van het hostsysteem en gebruikt geavanceerde ontwijkingstechnieken om beveiligingssoftware en bewakingssystemen te omzeilen.
Eenmaal binnen een systeem stelt GhostContainer aanvallers in staat de controle over de Exchange-server over te nemen. Het kan fungeren als een proxy of een versleutelde tunnel, waardoor dieper in het interne netwerk kan worden doorgedrongen of gevoelige gegevens onopgemerkt kunnen worden gestolen. Deze acties hebben experts doen vermoeden dat de campagne cyberspionagedoeleinden dient.
Sergey Lozhkin, hoofd van Kaspersky's GReAT Azië- Pacific en Midden-Oosten-Afrika, zei dat de groep achter GhostContainer zeer veel kennis heeft van Exchange- en IIS-serveromgevingen. Ze gebruiken open source code om geavanceerde aanvalstools te ontwikkelen en vermijden daarbij duidelijke sporen, waardoor het zeer moeilijk is om de bron te achterhalen.
Het is nog niet mogelijk om te bepalen welke groep achter deze campagne zit, aangezien de malware code van vele open-sourceprojecten gebruikt. Dit betekent dat de malware waarschijnlijk op grote schaal zal worden misbruikt door verschillende cybercriminele groepen wereldwijd. Volgens statistieken werden er eind 2024 ongeveer 14.000 malwarepakketten gedetecteerd in open-sourceprojecten, een stijging van 48% ten opzichte van eind 2023. Dit toont aan dat de beveiligingsrisico's van open source steeds ernstiger worden.
Om het risico te verkleinen dat ze slachtoffer worden van gerichte cyberaanvallen, moeten bedrijven hun beveiligingsteams toegang geven tot actuele informatie over bedreigingen, aldus Kaspersky.
Het bijscholen van cybersecurityteams is essentieel om hun vermogen om geavanceerde aanvallen te detecteren en erop te reageren te vergroten. Bedrijven zouden ook oplossingen voor endpointdetectie en -probleemoplossing moeten implementeren, gecombineerd met tools voor monitoring en bescherming op netwerkniveau.
Omdat veel aanvallen beginnen met phishingmails of andere vormen van psychologische misleiding, moeten organisaties hun medewerkers regelmatig trainen in beveiligingsbewustzijn. Investeren in technologie, mensen en processen is essentieel om bedrijven te helpen hun verdediging tegen steeds geavanceerdere bedreigingen te versterken.
Bron: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
![[Foto] De snelweg Vinh Hao-Phan Thiet heeft de kaak van een kikker](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/13/a89ffa426f7a46ffb810cb1d7bdfb1b8)
![[Foto] Secretaris-generaal van Lam woont de 80e verjaardag van de traditionele dag van het Volksgerechtshof bij](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/13/ff42d08a51cc4673bba7c56f6a576384)
![[Foto] Secretaris-generaal van Lam woont het symposium over digitaal volksonderwijs bij - Digitale Nationale Assemblee](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/13/43ebd93f0f5e4d98a2749dab86def7cd)
![[Foto] Honderden meters kustlijn van Hoi An ernstig geërodeerd](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/13/57c85b745a004d169dfe1ee36b6777e5)
Reactie (0)