Шкідливе програмне забезпечення, приховане в Microsoft Exchange: виявлено складне кібершпигунство

За даними Глобальної дослідницької та аналітичної групи (GReAT), шкідливе програмне забезпечення GhostContainer було встановлено в системах, що використовують Microsoft Exchange, в рамках довгострокової кампанії з боротьби з постійними загрозами (APT), спрямованої на ключові організації в Азійському регіоні, включаючи великі технологічні компанії.

Mã độc ẩn mình trong Microsoft Exchange: Phát hiện gián điệp mạng tinh vi- Ảnh 1.

GhostContainer, прихований у файлі під назвою App_Web_Container_1.dll, насправді є багатоцільовим бекдором. Він здатний розширювати свою функціональність, завантажуючи додаткові віддалені модулі, і базується на різноманітних інструментах з відкритим кодом. Шкідливе програмне забезпечення маскується під легітимний компонент хост-системи, використовуючи складні методи ухилення від атак, щоб обійти програмне забезпечення безпеки та системи моніторингу.

Потрапивши в систему, GhostContainer дозволяє зловмисникам отримати контроль над серверами Exchange. Він може виступати в ролі проксі-сервера або зашифрованого тунелю, що дозволяє їм проникати глибше у внутрішню мережу або красти конфіденційні дані, не будучи виявленими. Ці дії призвели до підозр експертів, що кампанія служить цілям кібершпигунства.

Сергій Ложкін, керівник команди Kaspersky GReAT в Азіатсько -Тихоокеанському регіоні та на Близькому Сході, Африці, зазначив, що група, яка стоїть за GhostContainer, добре обізнана з серверними середовищами Exchange та IIS. Вони використовують відкритий вихідний код для розробки складних інструментів атаки, уникаючи очевидних слідів, що дуже ускладнює відстеження походження.

Наразі незрозуміло, яка група стоїть за цією кампанією, оскільки шкідливе програмне забезпечення використовує код з кількох проектів з відкритим кодом, а це означає, що воно, ймовірно, широко використовується різними кіберзлочинними групами по всьому світу. Примітно, що, згідно зі статистикою, до кінця 2024 року в проектах з відкритим кодом було виявлено приблизно 14 000 пакетів шкідливого програмного забезпечення, що на 48% більше порівняно з кінцем 2023 року, що свідчить про те, що ризики безпеці від відкритого коду стають дедалі серйознішими.

Щоб зменшити ризик стати жертвою цілеспрямованих кібератак, підприємства повинні забезпечити свої команди з безпеки доступом до актуальних джерел інформації про загрози, стверджує Kaspersky.

Підвищення кваліфікації команд з кібербезпеки є важливим для покращення їхньої здатності виявляти складні атаки та реагувати на них. Бізнесу також слід впроваджувати рішення для виявлення та усунення несправностей кінцевих точок у поєднанні з інструментами моніторингу та захисту на рівні мережі.

Крім того, оскільки багато атак починаються з фішингових електронних листів або інших форм психологічного обману, організаціям необхідно регулярно проводити навчання з питань безпеки для співробітників. Скоординовані інвестиції в технології, людей та процеси є ключовими для того, щоб допомогти компаніям зміцнити свій захист від дедалі складніших загроз.

Джерело: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm