A equipe do GReAT descobriu o malware durante operações de resposta a incidentes em sistemas governamentais que utilizam o Microsoft Exchange. Acredita-se que o GhostContainer faça parte de uma campanha sofisticada e persistente de ameaças avançadas persistentes (APT) que tem como alvo organizações importantes na região da Ásia, incluindo grandes empresas de tecnologia.
O arquivo malicioso descoberto pela Kaspersky, chamado App_Web_Container_1.dll, é, na verdade, um backdoor multifuncional que pode ser expandido baixando módulos adicionais remotamente. O malware se aproveita de muitos projetos de código aberto e é sofisticadamente personalizado para evitar detecção.
Após a instalação bem-sucedida do GhostContainer em um sistema, os hackers podem facilmente assumir o controle total do servidor Exchange, a partir do qual podem executar uma série de ações perigosas sem que o usuário saiba. Esse malware se disfarça habilmente como um componente válido do servidor e utiliza diversas técnicas de evasão de vigilância para evitar a detecção por softwares antivírus e contornar os sistemas de monitoramento de segurança.
Além disso, esse malware pode atuar como um servidor proxy ou um túnel criptografado, criando brechas para hackers invadirem sistemas internos ou roubarem informações confidenciais. Analisando essa forma de operação, os especialistas suspeitam que o principal objetivo dessa campanha seja a espionagem cibernética.
“Nossa análise aprofundada mostra que os criminosos são altamente proficientes em invadir sistemas de servidores Microsoft Exchange. Eles utilizam uma variedade de ferramentas de código aberto para invadir ambientes IIS e Exchange e desenvolvem ferramentas sofisticadas de espionagem com base no código aberto disponível. Continuaremos monitorando as atividades do grupo, bem como o escopo e a gravidade de seus ataques, para entender melhor o panorama geral da ameaça”, afirmou Sergey Lozhkin, chefe da Equipe Global de Pesquisa e Análise (GReAT) para Ásia-Pacífico, Oriente Médio e África da Kaspersky.
O GhostContainer utiliza código de diversos projetos de código aberto, o que o torna totalmente vulnerável a grupos cibercriminosos ou campanhas APT em qualquer lugar do mundo . Notavelmente, até o final de 2024, um total de 14.000 pacotes de malware foram detectados em projetos de código aberto, um aumento de 48% em relação ao final de 2023. Esse número mostra que o nível de risco está aumentando nesse campo.
Fonte: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Foto] Pronto para a Feira de Outono de 2025](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/14/1760456672454_ndo_br_chi-9796-jpg.webp)
Comentário (0)