ตามรายงานของทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) มัลแวร์ GhostContainer ได้รับการติดตั้งในระบบที่ใช้ Microsoft Exchange ซึ่งเป็นส่วนหนึ่งของแคมเปญคุกคามต่อเนื่องขั้นสูง (APT) ระยะยาวที่มุ่งเป้าไปที่องค์กรสำคัญในภูมิภาคเอเชีย รวมถึงบริษัทเทคโนโลยีรายใหญ่ด้วย
GhostContainer ซึ่งซ่อนอยู่ในไฟล์ชื่อ App_Web_Container_1.dll แท้จริงแล้วเป็นแบ็คดอร์อเนกประสงค์ มันสามารถขยายการทำงานได้โดยการโหลดโมดูลระยะไกลเพิ่มเติม และทำงานบนเครื่องมือโอเพนซอร์สที่หลากหลาย มัลแวร์นี้ปลอมตัวเป็นส่วนประกอบที่ถูกต้องตามกฎหมายของระบบโฮสต์ โดยใช้เทคนิคการหลบเลี่ยงที่ซับซ้อนเพื่อหลบเลี่ยงซอฟต์แวร์รักษาความปลอดภัยและระบบตรวจสอบ
เมื่อเข้าไปในระบบแล้ว GhostContainer จะทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ Exchange ได้ มันสามารถทำหน้าที่เป็นพร็อกซีหรืออุโมงค์ที่เข้ารหัส ซึ่งช่วยให้สามารถเจาะลึกเข้าไปในเครือข่ายภายในหรือขโมยข้อมูลสำคัญโดยไม่ถูกตรวจจับได้ การกระทำเหล่านี้ทำให้ผู้เชี่ยวชาญสงสัยว่าแคมเปญนี้มีวัตถุประสงค์เพื่อการจารกรรมทางไซเบอร์
เซอร์เกย์ โลซกิน หัวหน้าฝ่าย GReAT ประจำภูมิภาคเอเชีย แปซิฟิก และตะวันออกกลาง-แอฟริกาของ Kaspersky กล่าวว่า กลุ่มที่อยู่เบื้องหลัง GhostContainer มีความรู้ความเข้าใจเกี่ยวกับสภาพแวดล้อมเซิร์ฟเวอร์ Exchange และ IIS เป็นอย่างดี พวกเขาใช้โค้ดโอเพนซอร์สเพื่อพัฒนาเครื่องมือโจมตีที่ซับซ้อน ขณะเดียวกันก็หลีกเลี่ยงการติดตามที่เห็นได้ชัด ทำให้การติดตามแหล่งที่มาทำได้ยาก
ยังไม่สามารถระบุได้ว่ากลุ่มใดอยู่เบื้องหลังแคมเปญนี้ เนื่องจากมัลแวร์นี้ใช้โค้ดจากโครงการโอเพนซอร์สจำนวนมาก ซึ่งหมายความว่ามีแนวโน้มว่าจะถูกกลุ่มอาชญากรไซเบอร์จำนวนมากทั่วโลกนำไปใช้ประโยชน์อย่างกว้างขวาง ที่น่าสังเกตคือ จากสถิติพบว่า ณ สิ้นปี 2567 มีการตรวจพบแพ็คเกจมัลแวร์ประมาณ 14,000 รายการในโครงการโอเพนซอร์ส ซึ่งเพิ่มขึ้น 48% เมื่อเทียบกับสิ้นปี 2566 แสดงให้เห็นว่าความเสี่ยงด้านความปลอดภัยจากโอเพนซอร์สกำลังทวีความรุนแรงมากขึ้นเรื่อยๆ
เพื่อลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีทางไซเบอร์แบบกำหนดเป้าหมาย ธุรกิจต่างๆ ควรจัดหาทรัพยากรด้านข่าวกรองภัยคุกคามที่ทันสมัยให้กับทีมปฏิบัติการด้านความปลอดภัย ตามที่ Kaspersky กล่าวไว้
การยกระดับทักษะของทีมรักษาความปลอดภัยทางไซเบอร์เป็นสิ่งสำคัญอย่างยิ่งในการเพิ่มความสามารถในการตรวจจับและรับมือกับการโจมตีที่ซับซ้อน ธุรกิจต่างๆ ควรปรับใช้โซลูชันการตรวจจับและแก้ไขปัญหาปลายทาง ควบคู่ไปกับเครื่องมือตรวจสอบและป้องกันระดับเครือข่าย
นอกจากนี้ เนื่องจากการโจมตีจำนวนมากเริ่มต้นด้วยอีเมลฟิชชิงหรือการหลอกลวงทางจิตวิทยารูปแบบอื่นๆ องค์กรจึงจำเป็นต้องจัดฝึกอบรมความตระหนักด้านความปลอดภัยให้กับพนักงานอย่างสม่ำเสมอ การลงทุนในเทคโนโลยี บุคลากร และกระบวนการต่างๆ ถือเป็นกุญแจสำคัญในการช่วยให้ธุรกิจต่างๆ เสริมสร้างการป้องกันภัยคุกคามที่ซับซ้อนมากขึ้น
ที่มา: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
การแสดงความคิดเห็น (0)