มัลแวร์ที่ซ่อนอยู่ใน Microsoft Exchange: ค้นพบการจารกรรมทางไซเบอร์ที่ซับซ้อน

(NLDO) ทีมวิจัยและวิเคราะห์ระดับโลกของ Kaspersky เพิ่งค้นพบ GhostContainer ซึ่งเป็นมัลแวร์แบ็กดอร์ชนิดใหม่ที่ซับซ้อนและไม่เคยมีการค้นพบมาก่อน

Người Lao Động•24/07/2025

ตามรายงานของทีมวิจัยและวิเคราะห์ระดับโลก (GReAT) มัลแวร์ GhostContainer ได้รับการติดตั้งในระบบที่ใช้ Microsoft Exchange ซึ่งเป็นส่วนหนึ่งของแคมเปญคุกคามต่อเนื่องขั้นสูง (APT) ระยะยาวที่มุ่งเป้าไปที่องค์กรสำคัญในภูมิภาคเอเชีย รวมถึงบริษัทเทคโนโลยีรายใหญ่ด้วย

Mã độc ẩn mình trong Microsoft Exchange: Phát hiện gián điệp mạng tinh vi- Ảnh 1.

GhostContainer ซึ่งซ่อนอยู่ในไฟล์ชื่อ App_Web_Container_1.dll แท้จริงแล้วเป็นแบ็คดอร์อเนกประสงค์ มันสามารถขยายการทำงานได้โดยการโหลดโมดูลระยะไกลเพิ่มเติม และทำงานบนเครื่องมือโอเพนซอร์สที่หลากหลาย มัลแวร์นี้ปลอมตัวเป็นส่วนประกอบที่ถูกต้องตามกฎหมายของระบบโฮสต์ โดยใช้เทคนิคการหลบเลี่ยงที่ซับซ้อนเพื่อหลบเลี่ยงซอฟต์แวร์รักษาความปลอดภัยและระบบตรวจสอบ

เมื่ออยู่ในระบบ GhostContainer จะทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ Exchange ได้ GhostContainer สามารถทำหน้าที่เป็นพร็อกซีหรืออุโมงค์ที่เข้ารหัส ซึ่งช่วยให้ผู้โจมตีสามารถเจาะลึกเข้าไปในเครือข่ายภายในหรือขโมยข้อมูลสำคัญโดยไม่ถูกตรวจจับได้ การกระทำเหล่านี้ทำให้ผู้เชี่ยวชาญสงสัยว่าแคมเปญนี้มีวัตถุประสงค์เพื่อการจารกรรมทางไซเบอร์

เซอร์เกย์ โลซกิน หัวหน้าทีม GReAT ประจำภูมิภาคเอเชีย แปซิฟิก และตะวันออกกลาง-แอฟริกาของ Kaspersky กล่าวว่า กลุ่มที่อยู่เบื้องหลัง GhostContainer มีความรู้ความเข้าใจเกี่ยวกับสภาพแวดล้อมเซิร์ฟเวอร์ Exchange และ IIS เป็นอย่างดี พวกเขาใช้โค้ดโอเพนซอร์สเพื่อพัฒนาเครื่องมือโจมตีที่ซับซ้อน ขณะเดียวกันก็หลีกเลี่ยงการติดตามที่เห็นได้ชัด ทำให้การติดตามต้นตอทำได้ยากมาก

ปัจจุบันยังไม่ชัดเจนว่ากลุ่มใดอยู่เบื้องหลังแคมเปญนี้ เนื่องจากมัลแวร์นี้ใช้โค้ดจากโครงการโอเพนซอร์สหลายโครงการ ซึ่งหมายความว่ามีแนวโน้มว่าจะถูกนำไปใช้อย่างแพร่หลายโดยกลุ่มอาชญากรไซเบอร์ต่างๆ ทั่วโลก ที่น่าสังเกตคือ จากสถิติพบว่า ณ สิ้นปี 2567 มีการตรวจพบแพ็คเกจมัลแวร์ประมาณ 14,000 รายการในโครงการโอเพนซอร์ส ซึ่งเพิ่มขึ้น 48% เมื่อเทียบกับสิ้นปี 2566 แสดงให้เห็นว่าความเสี่ยงด้านความปลอดภัยจากโอเพนซอร์สกำลังทวีความรุนแรงมากขึ้นเรื่อยๆ

เพื่อลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีทางไซเบอร์แบบกำหนดเป้าหมาย ธุรกิจต่างๆ ควรจัดหาแหล่งข้อมูลด้านภัยคุกคามล่าสุดให้กับทีมปฏิบัติการด้านความปลอดภัย ตามที่ Kaspersky กล่าวไว้

การยกระดับทักษะของทีมรักษาความปลอดภัยทางไซเบอร์เป็นสิ่งสำคัญอย่างยิ่งในการเพิ่มความสามารถในการตรวจจับและรับมือกับการโจมตีที่ซับซ้อน ธุรกิจต่างๆ ควรปรับใช้โซลูชันการตรวจจับและแก้ไขปัญหาปลายทาง ควบคู่ไปกับเครื่องมือตรวจสอบและป้องกันระดับเครือข่าย

นอกจากนี้ เนื่องจากการโจมตีจำนวนมากมักเริ่มต้นจากอีเมลฟิชชิงหรือการหลอกลวงทางจิตวิทยารูปแบบอื่นๆ องค์กรต่างๆ จึงจำเป็นต้องจัดฝึกอบรมความตระหนักรู้ด้านความปลอดภัยให้กับพนักงานเป็นประจำ การลงทุนอย่างสอดประสานกันในด้านเทคโนโลยี บุคลากร และกระบวนการต่างๆ ถือเป็นกุญแจสำคัญในการช่วยให้ธุรกิจต่างๆ เสริมสร้างการป้องกันตนเองจากภัยคุกคามที่ซับซ้อนมากขึ้น

ที่มา: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm