Команда GReAT виявила шкідливе програмне забезпечення під час реагування на інциденти в урядових системах, що використовували Microsoft Exchange. Вважається, що GhostContainer є частиною складної та стійкої кампанії з поширення стійких загроз (APT), спрямованої на ключові організації в Азійському регіоні, включаючи великі технологічні компанії.
Шкідливий файл App_Web_Container_1.dll, виявлений Касперським, насправді є багатофункціональним бекдором, який можна розширити, завантажуючи додаткові модулі віддалено. Шкідливе програмне забезпечення використовує переваги багатьох проектів з відкритим кодом і ретельно налаштовується, щоб уникнути виявлення.
Після успішного встановлення GhostContainer у системі хакери можуть легко отримати повний контроль над сервером Exchange, з якого вони можуть виконувати низку небезпечних дій без відома користувача. Це шкідливе програмне забезпечення майстерно маскується під дійсний компонент сервера та використовує багато методів уникнення спостереження, щоб уникнути виявлення антивірусним програмним забезпеченням та обійти системи моніторингу безпеки.
Крім того, це шкідливе програмне забезпечення може виступати в ролі посередницького сервера (проксі) або зашифрованого тунелю (тунелю), створюючи лазівки для хакерів для проникнення у внутрішні системи або крадіжки конфіденційної інформації. Розглядаючи такий спосіб роботи, експерти підозрюють, що основною метою цієї кампанії, найімовірніше, є кібершпигунство.
«Наш поглиблений аналіз показує, що зловмисники дуже вправні у проникненні на сервери Microsoft Exchange. Вони використовують різноманітні інструменти з відкритим кодом для проникнення в середовища IIS та Exchange , а також розробили складні інструменти шпигунства на основі доступного коду з відкритим кодом. Ми продовжуватимемо стежити за діяльністю групи, а також за масштабами та серйозністю їхніх атак, щоб краще зрозуміти загальний ландшафт загроз», – сказав Сергій Ложкін, керівник Глобальної дослідницької та аналітичної групи (GReAT) для Азіатсько-Тихоокеанського регіону, Близького Сходу та Африки компанії «Лабораторія Касперського».
GhostContainer використовує код з кількох проектів з відкритим кодом, що робить його дуже вразливим для кіберзлочинних груп або APT-кампаній у будь-якій точці світу . Примітно, що до кінця 2024 року в проектах з відкритим кодом було виявлено загалом 14 000 пакетів шкідливого програмного забезпечення, що на 48% більше, ніж на кінець 2023 року. Це число свідчить про те, що рівень ризику в цій галузі зростає.
Джерело: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Фото] Офіційно відкрито Міжнародний аеропорт Течо в Камбоджі](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/9/330836bb28ad4ee4bdd512cc1a2d0849)
![[Фото] Генеральний секретар То Лам головував на робочому засіданні Політбюро з постійними комітетами партійних комітетів центральних партійних органів.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/9/8343386e1e8f43c6a3c0543da7744901)
![[Фото] Політбюро співпрацює з постійними комітетами партійних комітетів провінцій Донгтхап та Куангчі](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/8/3e1c690a190746faa2d4651ac6ddd01a)
![[Фото] Політбюро співпрацює з постійними комітетами партійних комітетів провінцій Вінь Лонг та Тхай Нгуєн](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/8/4f046c454726499e830b662497ea1893)
Коментар (0)