По данным Глобальной исследовательской и аналитической группы (GReAT), вредоносное ПО GhostContainer было установлено в системах, использующих Microsoft Exchange, в рамках долгосрочной кампании по борьбе с усовершенствованными постоянными угрозами (APT), нацеленной на ключевые организации в Азиатском регионе, включая крупные технологические компании.
GhostContainer, скрытый в файле App_Web_Container_1.dll, на самом деле является многоцелевым бэкдором. Он способен расширять свою функциональность, загружая дополнительные удалённые модули, и основан на различных инструментах с открытым исходным кодом. Вредоносное ПО маскируется под легитимный компонент хост-системы, используя сложные методы обхода антивирусного ПО и систем мониторинга.
Попав в систему, GhostContainer позволяет злоумышленникам получить контроль над сервером Exchange. Он может действовать как прокси-сервер или зашифрованный туннель, обеспечивая более глубокое проникновение во внутреннюю сеть или кражу конфиденциальных данных без обнаружения. Эти действия навели экспертов на подозрение, что кампания преследует цели кибершпионажа.
Сергей Ложкин, руководитель GReAT «Лаборатории Касперского» в Азиатско -Тихоокеанском регионе и на Ближнем Востоке и в Африке, отметил, что группа, стоящая за GhostContainer, обладает обширными знаниями о серверных средах Exchange и IIS. Они используют открытый исходный код для разработки сложных инструментов атак, избегая при этом очевидных следов, что значительно затрудняет отслеживание источника.
Пока невозможно определить, какая группа стоит за этой кампанией, поскольку вредоносное ПО использует код многих проектов с открытым исходным кодом, что, вероятно, означает, что оно будет широко использоваться различными киберпреступными группировками по всему миру. Примечательно, что к концу 2024 года в проектах с открытым исходным кодом было обнаружено около 14 000 вредоносных пакетов, что на 48% больше, чем в конце 2023 года. Это свидетельствует о том, что риски безопасности, связанные с открытым исходным кодом, становятся всё более серьёзными.
По мнению Касперского, чтобы снизить риск стать жертвой целенаправленных кибератак, предприятиям следует предоставить своим группам безопасности доступ к актуальным ресурсам по анализу угроз.
Повышение квалификации специалистов по кибербезопасности крайне важно для повышения их способности обнаруживать и реагировать на сложные атаки. Компаниям также следует внедрять решения для обнаружения и устранения неполадок на конечных точках в сочетании с инструментами мониторинга и защиты на уровне сети.
Кроме того, поскольку многие атаки начинаются с фишинговых писем или других форм психологического обмана, организациям необходимо регулярно проводить обучение сотрудников по вопросам безопасности. Инвестиции в технологии, персонал и процессы по всем направлениям имеют ключевое значение для укрепления защиты компаний от всё более сложных угроз.
Источник: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
Комментарий (0)