Pasukan GREAT menemui perisian hasad semasa usaha tindak balas insiden di sistem kerajaan yang menggunakan Microsoft Exchange. GhostContainer dipercayai menjadi sebahagian daripada kempen ancaman berterusan maju (APT) canggih dan berterusan yang menyasarkan organisasi utama di rantau Asia, termasuk syarikat teknologi utama.
Fail berniat jahat yang ditemui oleh Kaspersky, dipanggil App_Web_Container_1.dll, sebenarnya adalah pintu belakang berbilang fungsi yang boleh dilanjutkan dengan memuat turun modul tambahan dari jauh. Malware mengambil kesempatan daripada banyak projek sumber terbuka dan disesuaikan dengan canggih untuk mengelakkan pengesanan.
Setelah GhostContainer berjaya dipasang pada sistem, penggodam boleh mendapatkan kawalan penuh ke atas pelayan Exchange dengan mudah, yang mana mereka boleh melakukan beberapa siri tindakan berbahaya tanpa pengetahuan pengguna. Malware ini secara bijak menyamar sebagai komponen pelayan yang sah dan menggunakan banyak teknik pengelakan pengawasan untuk mengelakkan pengesanan oleh perisian antivirus dan memintas sistem pemantauan keselamatan.
Di samping itu, perisian hasad ini boleh bertindak sebagai pelayan perantara (proksi) atau terowong yang disulitkan (terowong), mewujudkan kelemahan untuk penggodam untuk menembusi sistem dalaman atau mencuri maklumat sensitif. Melihat kepada cara operasi ini, pakar mengesyaki bahawa tujuan utama kempen ini kemungkinan besar adalah pengintipan siber.
"Analisis mendalam kami menunjukkan bahawa pelaku sangat mahir dalam menembusi pelayan Microsoft Exchange. Mereka memanfaatkan pelbagai alat sumber terbuka untuk menembusi persekitaran IIS dan Exchange , dan telah membangunkan alat pengintipan yang canggih berdasarkan kod sumber terbuka yang tersedia. Kami akan terus memantau aktiviti kumpulan itu, serta skop dan keterukan serangan keseluruhan mereka, "kata Ketua Penyelidik Sergey Lozhkin untuk lebih memahami landskap keseluruhan Pasukan Penyelidikan. (GReAT) untuk Asia Pasifik dan Timur Tengah dan Afrika di Kaspersky.
GhostContainer menggunakan kod daripada berbilang projek sumber terbuka, menjadikannya sangat terdedah kepada kumpulan penjenayah siber atau kempen APT di mana-mana sahaja di dunia . Terutama, menjelang akhir tahun 2024, sejumlah 14,000 pakej perisian hasad telah dikesan dalam projek sumber terbuka, meningkat 48% daripada penghujung tahun 2023. Jumlah ini menunjukkan bahawa tahap risiko semakin meningkat di lapangan.
Sumber: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
![[Foto] Lumba luar jalan: Sukan pengembaraan, produk pelancongan yang menarik](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/14/45123bd29c884b64934da038d947d344)
Komen (0)