Według Global Research and Analysis Team (GReAT) złośliwe oprogramowanie GhostContainer zostało zainstalowane w systemach wykorzystujących Microsoft Exchange w ramach długotrwałej kampanii zaawansowanych uporczywych zagrożeń (APT) skierowanej przeciwko kluczowym organizacjom w regionie Azji, w tym dużym firmom technologicznym.
GhostContainer, ukryty w pliku o nazwie App_Web_Container_1.dll, to w rzeczywistości wielofunkcyjny backdoor. Potrafi on rozszerzać swoją funkcjonalność poprzez ładowanie dodatkowych modułów zdalnych i opiera się na różnorodnych narzędziach open source. Szkodliwe oprogramowanie podszywa się pod legalny komponent systemu hosta, wykorzystując zaawansowane techniki unikania, aby ominąć oprogramowanie zabezpieczające i systemy monitorujące.
Po przedostaniu się do systemu, GhostContainer umożliwia atakującym przejęcie kontroli nad serwerami Exchange. Może działać jako serwer proxy lub szyfrowany tunel, umożliwiając im głębszą penetrację sieci wewnętrznej lub kradzież poufnych danych bez wykrycia. Działania te doprowadziły ekspertów do podejrzeń, że kampania służy celom cybernetycznego szpiegostwa.
Siergiej Łożkin, szef zespołu GReAT Azji i Pacyfiku oraz Bliskiego Wschodu i Afryki w firmie Kaspersky, powiedział, że grupa stojąca za GhostContainer posiada ogromną wiedzę na temat środowisk serwerowych Exchange i IIS. Wykorzystują oni otwarty kod źródłowy do tworzenia zaawansowanych narzędzi do ataków, jednocześnie unikając oczywistych śladów, co znacznie utrudnia wyśledzenie źródła.
Obecnie nie jest jasne, która grupa stoi za tą kampanią, ponieważ złośliwe oprogramowanie wykorzystuje kod z wielu projektów open source – co oznacza, że prawdopodobnie będzie szeroko wykorzystywane przez różne grupy cyberprzestępcze na całym świecie. Co ciekawe, według statystyk, do końca 2024 roku wykryto około 14 000 pakietów złośliwego oprogramowania w projektach open source, co stanowi wzrost o 48% w porównaniu z końcem 2023 roku – co pokazuje, że zagrożenia bezpieczeństwa związane z oprogramowaniem open source stają się coraz poważniejsze.
Według firmy Kaspersky, aby zmniejszyć ryzyko stania się ofiarą ukierunkowanych cyberataków, firmy powinny zapewnić swoim zespołom ds. operacji bezpieczeństwa dostęp do aktualnych źródeł informacji o zagrożeniach.
Podnoszenie kwalifikacji zespołów ds. cyberbezpieczeństwa jest niezbędne, aby zwiększyć ich zdolność do wykrywania i reagowania na zaawansowane ataki. Firmy powinny również wdrażać rozwiązania do wykrywania i rozwiązywania problemów w punktach końcowych, w połączeniu z narzędziami do monitorowania i ochrony na poziomie sieci.
Ponadto, ponieważ wiele ataków rozpoczyna się od wiadomości phishingowych lub innych form oszustwa psychologicznego, organizacje muszą regularnie zapewniać pracownikom szkolenia z zakresu bezpieczeństwa. Skoordynowane inwestycje w technologie, ludzi i procesy są kluczowe dla wspierania firm w budowaniu obrony przed coraz bardziej złożonymi zagrożeniami.
Źródło: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
![[Zdjęcie] Komitety partyjne centralnych agencji partyjnych podsumowują realizację rezolucji nr 18-NQ/TW i kierunku zjazdu partii](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/27/1761545645968_ndo_br_1-jpg.webp)
![[Zdjęcie] Przewodniczący Zgromadzenia Narodowego Tran Thanh Man przyjmuje przewodniczącego Izby Reprezentantów Uzbekistanu Nuriddina Ismoilova](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/27/1761542647910_bnd-2610-jpg.webp)
![[Zdjęcie] V Zjazd Patriotyczny Centralnej Komisji Inspekcyjnej](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/27/1761566862838_ndo_br_1-1858-jpg.webp)
Komentarz (0)