Malware oculto no Microsoft Exchange: descoberta de espionagem cibernética sofisticada

De acordo com a Equipe Global de Pesquisa e Análise (GReAT), o malware GhostContainer foi instalado em sistemas que usam o Microsoft Exchange, como parte de uma campanha de ameaça persistente avançada (APT) de longo prazo, visando organizações importantes na região da Ásia, incluindo grandes empresas de tecnologia.

Mã độc ẩn mình trong Microsoft Exchange: Phát hiện gián điệp mạng tinh vi- Ảnh 1.

O GhostContainer, oculto em um arquivo chamado App_Web_Container_1.dll, é, na verdade, um backdoor multifuncional. Ele é capaz de estender sua funcionalidade carregando módulos remotos adicionais e se baseia em uma variedade de ferramentas de código aberto. O malware se disfarça como um componente legítimo do sistema host, utilizando técnicas sofisticadas de evasão para contornar softwares de segurança e sistemas de monitoramento.

Uma vez no sistema, o GhostContainer permite que invasores assumam o controle dos servidores Exchange. Ele pode atuar como um proxy ou um túnel criptografado, permitindo que eles penetrem mais profundamente na rede interna ou roubem dados confidenciais sem serem detectados. Essas ações levaram especialistas a suspeitar que a campanha esteja servindo a propósitos de espionagem cibernética.

Sergey Lozhkin, chefe da equipe GReAT Ásia- Pacífico e Oriente Médio da Kaspersky na África, afirmou que a equipe por trás do GhostContainer possui amplo conhecimento dos ambientes de servidores Exchange e IIS. Eles utilizam código-fonte aberto para desenvolver ferramentas de ataque sofisticadas, evitando rastros óbvios, o que dificulta bastante o rastreamento da origem.

Atualmente, não está claro qual grupo está por trás desta campanha, visto que o malware utiliza código de diversos projetos de código aberto – o que significa que provavelmente será amplamente utilizado por diversos grupos de criminosos cibernéticos ao redor do mundo. Notavelmente, segundo as estatísticas, até o final de 2024, aproximadamente 14.000 pacotes de malware foram detectados em projetos de código aberto, um aumento de 48% em relação ao final de 2023 – demonstrando que os riscos à segurança provenientes do código aberto estão se tornando cada vez mais sérios.

Para reduzir o risco de ser vítima de ataques cibernéticos direcionados, as empresas devem equipar suas equipes de operações de segurança com acesso a fontes de inteligência de ameaças atualizadas, de acordo com a Kaspersky.

Aprimorar as equipes de segurança cibernética é essencial para aumentar sua capacidade de detectar e responder a ataques sofisticados. As empresas também devem implementar soluções de detecção e solução de problemas de endpoint, combinadas com ferramentas de monitoramento e proteção em nível de rede.

Além disso, como muitos ataques começam com e-mails de phishing ou outras formas de engano psicológico, as organizações precisam oferecer regularmente treinamentos de conscientização sobre segurança aos funcionários. Um investimento coordenado em tecnologia, pessoas e processos é fundamental para ajudar as empresas a fortalecer suas defesas contra ameaças cada vez mais complexas.

Comentário (0)