A equipe GReAT descobriu o malware durante operações de resposta a incidentes em sistemas governamentais que utilizam o Microsoft Exchange. Acredita-se que o GhostContainer faça parte de uma campanha sofisticada e persistente de ameaças persistentes avançadas (APT) que visa organizações importantes na região da Ásia, incluindo grandes empresas de tecnologia.
O arquivo malicioso descoberto pela Kaspersky, chamado App_Web_Container_1.dll, é na verdade uma porta dos fundos multifuncional que pode ser expandida com o download remoto de módulos adicionais. O malware se aproveita de diversos projetos de código aberto e é sofisticadamente personalizado para evitar a detecção.
Uma vez instalado com sucesso em um sistema, o GhostContainer permite que hackers assumam o controle total do servidor Exchange e realizem uma série de ações perigosas sem o conhecimento do usuário. Este malware se disfarça habilmente como um componente legítimo do servidor e utiliza diversas técnicas de evasão de vigilância para evitar a detecção por softwares antivírus e burlar sistemas de monitoramento de segurança.
Além disso, esse malware pode funcionar como um servidor proxy ou um túnel criptografado, criando brechas para que hackers penetrem em sistemas internos ou roubem informações confidenciais. Observando esse modo de operação, especialistas suspeitam que o principal objetivo dessa campanha seja a espionagem cibernética.
“Nossa análise detalhada mostra que os perpetradores são altamente proficientes em penetrar em sistemas de servidores Microsoft Exchange. Eles utilizam diversas ferramentas de código aberto para penetrar em ambientes IIS e Exchange e desenvolvem ferramentas de espionagem sofisticadas com base em código aberto disponível. Continuaremos monitorando as atividades do grupo, bem como o alcance e a gravidade de seus ataques, para melhor compreender o panorama geral da ameaça”, disse Sergey Lozhkin, chefe da Equipe Global de Pesquisa e Análise (GReAT) para a Ásia-Pacífico, Oriente Médio e África da Kaspersky.
O GhostContainer utiliza código de múltiplos projetos de código aberto, tornando-o totalmente vulnerável a grupos cibercriminosos ou campanhas APT em qualquer lugar do mundo . Notavelmente, até o final de 2024, um total de 14.000 pacotes de malware foram detectados em projetos de código aberto, um aumento de 48% em relação ao final de 2023. Esse número demonstra que o nível de risco está aumentando nesse campo.
Fonte: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Foto] O primeiro-ministro Pham Minh Chinh recebe o presidente da Agência Latino-Americana de Notícias de Cuba.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F01%2F1764569497815_dsc-2890-jpg.webp&w=3840&q=75)
Comentário (0)