Echipa GReAT a descoperit malware-ul în timpul operațiunilor de răspuns la incidente pe sisteme guvernamentale care utilizează Microsoft Exchange. Se crede că GhostContainer face parte dintr-o campanie sofisticată și persistentă de amenințări avansate persistente (APT) care vizează organizații cheie din regiunea Asiei, inclusiv companii importante de tehnologie.
Fișierul malițios descoperit de Kaspersky, numit App_Web_Container_1.dll, este de fapt un backdoor multifuncțional care poate fi extins prin descărcarea de module suplimentare de la distanță. Malware-ul profită de numeroase proiecte open source și este personalizat sofisticat pentru a evita detectarea.
Odată ce GhostContainer este instalat cu succes pe un sistem, hackerii pot prelua cu ușurință controlul complet asupra serverului Exchange, de pe care pot efectua o serie de acțiuni periculoase fără ca utilizatorul să știe. Acest malware este deghizat ingenios într-o componentă validă a serverului și folosește numeroase tehnici de evitare a supravegherii pentru a evita detectarea de către software-ul antivirus și a ocoli sistemele de monitorizare a securității.
În plus, acest malware poate acționa ca un server proxy sau un tunel criptat, creând breșe pentru hackeri care pot pătrunde în sistemele interne sau fura informații sensibile. Privind acest mod de operare, experții suspectează că scopul principal al acestei campanii este probabil spionajul cibernetic.
„Analiza noastră aprofundată arată că autorii sunt foarte pricepuți în penetrarea sistemelor de servere Microsoft Exchange. Aceștia utilizează o varietate de instrumente open source pentru a penetra mediile IIS și Exchange și dezvoltă instrumente sofisticate de spionaj bazate pe codul open source disponibil. Vom continua să monitorizăm activitățile grupului, precum și amploarea și severitatea atacurilor lor, pentru a înțelege mai bine imaginea generală a amenințărilor”, a declarat Sergey Lozhkin, șeful echipei globale de cercetare și analiză (GReAT) pentru Asia Pacific, Orientul Mijlociu și Africa la Kaspersky.
GhostContainer folosește cod din mai multe proiecte open source, ceea ce îl face complet vulnerabil la grupările cibernetice sau la campaniile APT oriunde în lume . În special, până la sfârșitul anului 2024, un total de 14.000 de pachete malware au fost detectate în proiecte open source, în creștere cu 48% față de sfârșitul anului 2023. Această cifră arată că nivelul de risc este în creștere în domeniu.
Sursă: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Foto] Prim-ministrul Pham Minh Chinh prezidează prima reuniune a Comitetului director central pentru politica locuințelor și piața imobiliară](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/22/c0f42b88c6284975b4bcfcf5b17656e7)
Comentariu (0)