Команда GReAT обнаружила вредоносное ПО в ходе операций по реагированию на инциденты в правительственных системах, использующих Microsoft Exchange. Предполагается, что GhostContainer является частью сложной и устойчивой кампании по атакам на продвинутые постоянные угрозы (APT), нацеленной на ключевые организации в Азиатском регионе, включая крупные технологические компании.
Обнаруженный «Лабораторией Касперского» вредоносный файл App_Web_Container_1.dll на самом деле представляет собой многофункциональный бэкдор, возможности которого можно расширять, удалённо загружая дополнительные модули. Вредоносное ПО использует множество проектов с открытым исходным кодом и тщательно модифицировано для избежания обнаружения.
После успешной установки GhostContainer в систему хакеры могут легко получить полный контроль над сервером Exchange, выполняя с него ряд опасных действий без ведома пользователя. Эта вредоносная программа искусно маскируется под легальный компонент сервера и использует множество методов сокрытия от слежки, чтобы избежать обнаружения антивирусным ПО и обойти системы мониторинга безопасности.
Кроме того, эта вредоносная программа может действовать как прокси-сервер или зашифрованный туннель, создавая лазейки для хакеров, позволяющие им проникать во внутренние системы или красть конфиденциальную информацию. Рассматривая этот способ работы, эксперты предполагают, что основной целью этой кампании, вероятно, является кибершпионаж.
«Наш глубокий анализ показывает, что злоумышленники обладают высокой квалификацией во взломе серверных систем Microsoft Exchange. Они используют различные инструменты с открытым исходным кодом для проникновения в среды IIS и Exchange , а также разрабатывают сложные шпионские инструменты на основе доступного открытого кода. Мы продолжим следить за деятельностью группы, а также за масштабом и серьёзностью их атак, чтобы лучше понять общую картину угроз», — заявил Сергей Ложкин, руководитель отдела глобальных исследований и анализа (GReAT) в Азиатско-Тихоокеанском регионе, на Ближнем Востоке и в Африке компании «Лаборатория Касперского».
GhostContainer использует код из нескольких проектов с открытым исходным кодом, что делает его полностью уязвимым для киберпреступных группировок или APT-кампаний по всему миру . Примечательно, что к концу 2024 года в проектах с открытым исходным кодом было обнаружено в общей сложности 14 000 вредоносных пакетов, что на 48% больше, чем в конце 2023 года. Это число свидетельствует о росте уровня риска в этой области.
Источник: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Фото] Премьер-министр Фам Минь Чинь председательствует на первом заседании Центрального руководящего комитета по жилищной политике и рынку недвижимости.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/22/c0f42b88c6284975b4bcfcf5b17656e7)
![[Фото] Генеральный секретарь То Лам вручает медаль труда первой степени Вьетнамской национальной группе энергетики и промышленности](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/21/0ad2d50e1c274a55a3736500c5f262e5)
Комментарий (0)