Malware ascuns în Microsoft Exchange: spionaj cibernetic sofisticat descoperit

Potrivit Echipei Globale de Cercetare și Analiză (GReAT), malware-ul GhostContainer a fost instalat în sisteme care utilizează Microsoft Exchange, ca parte a unei campanii pe termen lung de tip amenințare persistentă avansată (APT) care vizează organizații cheie din regiunea Asiei, inclusiv companii importante de tehnologie.

Mã độc ẩn mình trong Microsoft Exchange: Phát hiện gián điệp mạng tinh vi- Ảnh 1.

GhostContainer, ascuns într-un fișier numit App_Web_Container_1.dll, este de fapt un backdoor multifuncțional. Este capabil să își extindă funcționalitatea prin încărcarea de module suplimentare la distanță și se bazează pe o varietate de instrumente open source. Malware-ul se deghizează într-o componentă legitimă a sistemului gazdă, folosind tehnici sofisticate de evitare a atacurilor pentru a ocoli software-ul de securitate și sistemele de monitorizare.

Odată ajuns în sistem, GhostContainer permite atacatorilor să preia controlul asupra serverelor Exchange. Poate acționa ca un proxy sau un tunel criptat, permițându-le să pătrundă mai adânc în rețeaua internă sau să fure date sensibile fără a fi detectați. Aceste acțiuni i-au determinat pe experți să suspecteze că această campanie servește scopurilor de spionaj cibernetic.

Sergey Lozhkin, șeful echipei GReAT Asia Pacific și Orientul Mijlociu Africa de la Kaspersky, a declarat că grupul din spatele GhostContainer cunoaște foarte bine mediile de server Exchange și IIS. Aceștia folosesc cod open source pentru a dezvolta instrumente de atac sofisticate, evitând în același timp urmele evidente, ceea ce face foarte dificilă urmărirea originii.

În prezent, nu este clar ce grup se află în spatele acestei campanii, deoarece malware-ul folosește cod din mai multe proiecte open source – ceea ce înseamnă că este probabil să fie utilizat pe scară largă de diverse grupuri de infractori cibernetici din întreaga lume. În special, conform statisticilor, până la sfârșitul anului 2024, au fost detectate aproximativ 14.000 de pachete malware în proiecte open source, o creștere de 48% față de sfârșitul anului 2023 – ceea ce arată că riscurile de securitate generate de open source devin din ce în ce mai grave.

Pentru a reduce riscul de a cădea victime ale atacurilor cibernetice direcționate, companiile ar trebui să își doteze echipele de operațiuni de securitate cu acces la surse actualizate de informații despre amenințări, potrivit Kaspersky.

Perfecționarea echipelor de securitate cibernetică este esențială pentru a le spori capacitatea de a detecta și de a răspunde la atacuri sofisticate. De asemenea, companiile ar trebui să implementeze soluții de detectare și depanare a endpoint-urilor, combinate cu instrumente de monitorizare și protecție la nivel de rețea.

În plus, întrucât multe atacuri încep cu e-mailuri de tip phishing sau alte forme de înșelăciune psihologică, organizațiile trebuie să ofere în mod regulat angajaților instruire privind conștientizarea securității. O investiție coordonată în tehnologie, personal și procese este esențială pentru a ajuta companiile să își consolideze apărarea împotriva amenințărilor din ce în ce mai complexe.

Sursă: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm