A equipe do GReAT descobriu o malware durante esforços de resposta a incidentes em sistemas governamentais que utilizavam o Microsoft Exchange. Acredita-se que o GhostContainer faça parte de uma campanha sofisticada e persistente de ameaças avançadas persistentes (APT) que tem como alvo organizações importantes na região da Ásia, incluindo grandes empresas de tecnologia.
O arquivo malicioso descoberto pela Kaspersky, chamado App_Web_Container_1.dll, é, na verdade, um backdoor multifuncional que pode ser expandido baixando módulos adicionais remotamente. O malware se aproveita de muitos projetos de código aberto e é sofisticadamente personalizado para evitar a detecção.
Após a instalação bem-sucedida do GhostContainer em um sistema, os hackers podem facilmente obter controle total do servidor Exchange, a partir do qual podem executar uma série de ações perigosas sem o conhecimento do usuário. Esse malware se disfarça habilmente como um componente válido do servidor e utiliza diversas técnicas de evasão de vigilância para evitar a detecção por softwares antivírus e contornar os sistemas de monitoramento de segurança.
Além disso, esse malware pode atuar como um servidor intermediário (proxy) ou um túnel criptografado (túnel), criando brechas para que hackers invadam sistemas internos ou roubem informações confidenciais. Considerando essa forma de operação, os especialistas suspeitam que o principal objetivo dessa campanha seja, muito provavelmente, a espionagem cibernética.
“Nossa análise aprofundada mostra que os criminosos são altamente proficientes em invadir servidores Microsoft Exchange. Eles utilizam uma variedade de ferramentas de código aberto para invadir ambientes IIS e Exchange e desenvolveram ferramentas sofisticadas de espionagem baseadas em código aberto disponível. Continuaremos monitorando as atividades do grupo, bem como o escopo e a gravidade de seus ataques, para entender melhor o cenário geral de ameaças”, afirmou Sergey Lozhkin, chefe da Equipe Global de Pesquisa e Análise (GReAT) para Ásia-Pacífico, Oriente Médio e África da Kaspersky.
O GhostContainer utiliza código de diversos projetos de código aberto, o que o torna altamente vulnerável a grupos cibercriminosos ou campanhas de APT em qualquer lugar do mundo . Notavelmente, até o final de 2024, um total de 14.000 pacotes de malware foram detectados em projetos de código aberto, um aumento de 48% em relação ao final de 2023. Esse número demonstra que o nível de risco está aumentando nesse setor.
Fonte: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Foto] O presidente Luong Cuong recebe o presidente do Parlamento da Nova Zelândia, Gerry Brownlee](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/29/7accfe1f5d85485da58b0a61d35dc10f)
Comentário (0)