Κακόβουλο λογισμικό που κρύβεται στο Microsoft Exchange: Αποκαλύφθηκε εξελιγμένη κυβερνοκατασκοπεία

Σύμφωνα με την Παγκόσμια Ομάδα Έρευνας και Ανάλυσης (GReAT), το κακόβουλο λογισμικό GhostContainer εγκαταστάθηκε σε συστήματα που χρησιμοποιούν το Microsoft Exchange, ως μέρος μιας μακροπρόθεσμης, προηγμένης μόνιμης απειλής (APT) που στόχευε βασικούς οργανισμούς στην περιοχή της Ασίας, συμπεριλαμβανομένων μεγάλων εταιρειών τεχνολογίας.

Mã độc ẩn mình trong Microsoft Exchange: Phát hiện gián điệp mạng tinh vi- Ảnh 1.

Το GhostContainer, κρυμμένο σε ένα αρχείο με όνομα App_Web_Container_1.dll, είναι στην πραγματικότητα ένα backdoor πολλαπλών χρήσεων. Είναι ικανό να επεκτείνει τη λειτουργικότητά του φορτώνοντας πρόσθετες απομακρυσμένες μονάδες και βασίζεται σε μια ποικιλία εργαλείων ανοιχτού κώδικα. Το κακόβουλο λογισμικό μεταμφιέζεται σε ένα νόμιμο στοιχείο του συστήματος υποδοχής, χρησιμοποιώντας εξελιγμένες τεχνικές αποφυγής για να παρακάμψει το λογισμικό ασφαλείας και τα συστήματα παρακολούθησης.

Μόλις εισέλθει σε ένα σύστημα, το GhostContainer επιτρέπει στους εισβολείς να πάρουν τον έλεγχο του Exchange server. Μπορεί να λειτουργήσει ως proxy ή ως κρυπτογραφημένη σήραγγα, επιτρέποντας βαθύτερη διείσδυση στο εσωτερικό δίκτυο ή την κλοπή ευαίσθητων δεδομένων χωρίς να εντοπιστεί. Αυτές οι ενέργειες έχουν οδηγήσει τους ειδικούς να υποψιαστούν ότι η εκστρατεία εξυπηρετεί σκοπούς κυβερνοκατασκοπείας.

Ο Sergey Lozhkin, επικεφαλής του GReAT Ασίας- Ειρηνικού και Μέσης Ανατολής-Αφρικής της Kaspersky, δήλωσε ότι η ομάδα πίσω από το GhostContainer είναι πολύ καλά καταρτισμένη σχετικά με τα περιβάλλοντα διακομιστών Exchange και IIS. Χρησιμοποιούν ανοιχτό κώδικα για την ανάπτυξη εξελιγμένων εργαλείων επίθεσης, αποφεύγοντας παράλληλα τα εμφανή ίχνη, γεγονός που καθιστά πολύ δύσκολη την ανίχνευση της πηγής.

Δεν είναι ακόμη δυνατό να προσδιοριστεί ποια ομάδα βρίσκεται πίσω από αυτήν την καμπάνια, καθώς το κακόβουλο λογισμικό χρησιμοποιεί κώδικα από πολλά έργα ανοιχτού κώδικα - πράγμα που σημαίνει ότι είναι πιθανό να αξιοποιηθεί ευρέως από πολλές διαφορετικές ομάδες κυβερνοεγκληματιών σε όλο τον κόσμο. Αξιοσημείωτο είναι ότι, σύμφωνα με στατιστικά στοιχεία, μέχρι το τέλος του 2024, εντοπίστηκαν περίπου 14.000 πακέτα κακόβουλου λογισμικού σε έργα ανοιχτού κώδικα, αύξηση 48% σε σύγκριση με το τέλος του 2023 - γεγονός που δείχνει ότι οι κίνδυνοι ασφαλείας από το ανοιχτό κώδικα γίνονται ολοένα και πιο σοβαροί.

Για να μειωθεί ο κίνδυνος να πέσουν θύματα στοχευμένων κυβερνοεπιθέσεων, οι επιχειρήσεις θα πρέπει να εξοπλίσουν τις ομάδες ασφαλείας τους με πρόσβαση σε ενημερωμένους πόρους πληροφοριών για απειλές, σύμφωνα με την Kaspersky.

Η αναβάθμιση των ομάδων κυβερνοασφάλειας είναι απαραίτητη για την αύξηση της ικανότητάς τους να εντοπίζουν και να αντιμετωπίζουν εξελιγμένες επιθέσεις. Οι επιχειρήσεις θα πρέπει επίσης να αναπτύξουν λύσεις ανίχνευσης και αντιμετώπισης προβλημάτων τελικών σημείων, σε συνδυασμό με εργαλεία παρακολούθησης και προστασίας σε επίπεδο δικτύου.

Επιπλέον, δεδομένου ότι πολλές επιθέσεις ξεκινούν με email ηλεκτρονικού "ψαρέματος" (phishing) ή άλλες μορφές ψυχολογικής εξαπάτησης, οι οργανισμοί πρέπει να παρέχουν τακτική εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας στους εργαζομένους. Η επένδυση σε τεχνολογία, ανθρώπους και διαδικασίες σε όλους τους τομείς είναι το κλειδί για να βοηθηθούν οι επιχειρήσεις να ενισχύσουν την άμυνά τους έναντι ολοένα και πιο εξελιγμένων απειλών.

Πηγή: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm