بدافزار پنهان در مایکروسافت اکسچنج: جاسوسی سایبری پیچیده کشف شد

طبق گزارش تیم تحقیق و تحلیل جهانی (GReAT)، بدافزار GhostContainer به عنوان بخشی از یک کمپین بلندمدت و پیشرفته تهدید مداوم (APT) که سازمان‌های کلیدی در منطقه آسیا، از جمله شرکت‌های بزرگ فناوری را هدف قرار می‌دهد، در سیستم‌هایی که از Microsoft Exchange استفاده می‌کنند، نصب شده است.

Mã độc ẩn mình trong Microsoft Exchange: Phát hiện gián điệp mạng tinh vi- Ảnh 1.

GhostContainer که در فایلی به نام App_Web_Container_1.dll پنهان شده است، در واقع یک در پشتی چند منظوره است. این بدافزار قادر است با بارگذاری ماژول‌های راه دور اضافی، عملکرد خود را گسترش دهد و مبتنی بر ابزارهای متن‌باز متنوعی است. این بدافزار خود را به عنوان یک جزء قانونی سیستم میزبان جا می‌زند و با استفاده از تکنیک‌های پیچیده‌ی گریز، نرم‌افزارهای امنیتی و سیستم‌های نظارتی را دور می‌زند.

GhostContainer پس از ورود به سیستم، به مهاجمان اجازه می‌دهد تا کنترل سرور Exchange را در دست بگیرند. این بدافزار می‌تواند به عنوان یک پروکسی یا یک تونل رمزگذاری شده عمل کند و امکان نفوذ عمیق‌تر به شبکه داخلی یا سرقت داده‌های حساس را بدون شناسایی شدن فراهم کند. این اقدامات باعث شده است که کارشناسان گمان کنند که این کمپین در خدمت اهداف جاسوسی سایبری است.

سرگئی لوژکین، رئیس بخش آسیا- اقیانوسیه و خاورمیانه-آفریقای شرکت کسپرسکی در GReAT، گفت که گروه پشت GhostContainer دانش بسیار خوبی در مورد محیط‌های سرور Exchange و IIS دارد. آن‌ها از کد منبع باز برای توسعه ابزارهای حمله پیچیده استفاده می‌کنند و در عین حال از ردیابی‌های آشکار اجتناب می‌کنند و این امر ردیابی منبع را بسیار دشوار می‌سازد.

هنوز نمی‌توان مشخص کرد که چه گروهی پشت این کمپین است، زیرا این بدافزار از کد بسیاری از پروژه‌های متن‌باز استفاده می‌کند - به این معنی که احتمالاً توسط بسیاری از گروه‌های مختلف مجرمان سایبری در سراسر جهان مورد سوءاستفاده گسترده قرار خواهد گرفت. نکته قابل توجه این است که طبق آمار، تا پایان سال ۲۰۲۴، تقریباً ۱۴۰۰۰ بسته بدافزار در پروژه‌های متن‌باز شناسایی شده است که در مقایسه با پایان سال ۲۰۲۳، ۴۸ درصد افزایش یافته است - که نشان می‌دهد خطرات امنیتی ناشی از متن‌باز به طور فزاینده‌ای جدی می‌شوند.

به گفته کسپرسکی، برای کاهش خطر قربانی شدن در حملات سایبری هدفمند، کسب‌وکارها باید تیم‌های عملیات امنیتی خود را به منابع به‌روز اطلاعات تهدید مجهز کنند.

ارتقای مهارت‌های تیم‌های امنیت سایبری برای افزایش توانایی آنها در شناسایی و پاسخ به حملات پیچیده ضروری است. کسب‌وکارها همچنین باید راه‌حل‌های تشخیص و عیب‌یابی نقاط پایانی را همراه با ابزارهای نظارت و حفاظت در سطح شبکه به کار گیرند.

علاوه بر این، از آنجایی که بسیاری از حملات با ایمیل‌های فیشینگ یا سایر اشکال فریب روانی آغاز می‌شوند، سازمان‌ها باید آموزش‌های منظم آگاهی‌بخشی امنیتی را به کارمندان ارائه دهند. سرمایه‌گذاری در فناوری، افراد و فرآیندها در همه زمینه‌ها، کلید کمک به کسب‌وکارها برای تقویت دفاع خود در برابر تهدیدهای فزاینده و پیچیده است.

منبع: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm