Команда GReAT обнаружила вредоносное ПО в ходе реагирования на инциденты в правительственных системах, использующих Microsoft Exchange. Предполагается, что GhostContainer является частью сложной и устойчивой кампании по борьбе с продвинутыми постоянными угрозами (APT), нацеленной на ключевые организации в Азиатском регионе, включая крупные технологические компании.
Обнаруженный «Лабораторией Касперского» вредоносный файл App_Web_Container_1.dll на самом деле представляет собой многофункциональный бэкдор, возможности которого можно расширять, удалённо загружая дополнительные модули. Вредоносное ПО использует множество проектов с открытым исходным кодом и тщательно модифицировано для избежания обнаружения.
После успешной установки GhostContainer в систему хакеры могут легко получить полный контроль над сервером Exchange, выполняя с него ряд опасных действий без ведома пользователя. Эта вредоносная программа искусно маскируется под полноценный компонент сервера и использует множество методов уклонения от слежки, чтобы избежать обнаружения антивирусным ПО и обойти системы мониторинга безопасности.
Кроме того, эта вредоносная программа может выступать в роли промежуточного сервера (прокси) или зашифрованного туннеля (туннеля), создавая лазейки для хакеров, позволяющие им проникать во внутренние системы или кражу конфиденциальной информации. Рассматривая этот способ работы, эксперты предполагают, что основной целью данной кампании, скорее всего, является кибершпионаж.
«Наш глубокий анализ показывает, что злоумышленники обладают высокой квалификацией во взломе серверов Microsoft Exchange. Они используют различные инструменты с открытым исходным кодом для проникновения в среды IIS и Exchange и разработали сложные шпионские инструменты на основе доступного открытого исходного кода. Мы продолжим следить за деятельностью группы, а также за масштабом и серьёзностью их атак, чтобы лучше понять общую картину угроз», — заявил Сергей Ложкин, руководитель отдела глобальных исследований и анализа (GReAT) в Азиатско-Тихоокеанском регионе, на Ближнем Востоке и в Африке компании «Лаборатория Касперского».
GhostContainer использует код из нескольких проектов с открытым исходным кодом, что делает его крайне уязвимым для киберпреступных группировок и APT-кампаний по всему миру . Примечательно, что к концу 2024 года в проектах с открытым исходным кодом было обнаружено в общей сложности 14 000 вредоносных пакетов, что на 48% больше, чем в конце 2023 года. Это число свидетельствует о росте уровня риска в этой области.
Источник: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
Комментарий (0)