Sursa poza: Go4IT

O nouă amenințare cibernetică, numită GhostContainer, a fost recent descoperită, afectând serverele Microsoft Exchange în special din sectorul guvernamental. Această amenințare, un tip de malware sofisticat și personalizat, a fost identificată în timpul unei intervenții de răspuns la incidente, stârnind suspiciunea că face parte dintr-o campanie de atac persistent avansat (APT) care vizează principalele entități asiatice, inclusiv companii din sectorul tehnologic avansat.

Fișierul malițios, denumit de Kaspersky App_Web_Container_1.dll, reprezintă un backdoor complex care folosește coduri din proiecte open-source și are capacitatea de a-și extinde funcționalitățile prin descărcarea de noi module. Odată infiltrat, acest malware conferă atacatorilor control deplin asupra serverelor Exchange afectate, permițându-le să desfășoare o gamă variată de activități dăunătoare. Pentru a nu fi detectat de soluțiile de securitate, GhostContainer utilizează tehnici avansate de evitare și se integrează perfect în funcționarea obișnuită a serverului, pretinzând că este o componentă legitimă.

Mai mult, GhostContainer poate funcționa ca un proxy sau tunel, expunând rețelele interne către riscuri externe sau facilitând sustragerea de date sensibile din sistemele organizațiilor vizate. Astfel, această activitate subliniază un interes semnificativ în spionajul cibernetic.

În ciuda complexității acestui backdoor, sursele nu au reușit încă să atribuie GhostContainer unui grup cunoscut de atacatori, întrucât aceștia și-au păstrat infrastructura bine ascunsă. Codul inclus în malware provine din diverse proiecte open-source publice, ceea ce înseamnă că poate fi utilizat de hackeri din întreaga lume, fie că vorbim de indivizi, fie de grupuri APT.

Până la sfârșitul anului 2024, s-au raportat aproximativ 14.000 de pachete malițioase în proiectele open-source, reprezentând o creștere cu 48% față de sfârșitul anului precedent. Această escaladare semnalează o provocare din ce în ce mai mare în peisajul digital.

Microsoft Exchange rămâne un instrument esențial pentru managementul și colaborarea prin e-mail, ajutând utilizatorii să administreze e-mailurile, calendarele, contactele și să colaboreze. În acest context, protejarea acestor servere devine crucială pentru securitatea datelor și continuitatea operațiunilor în mediile organizaționale, mai ales în fața unor amenințări precum GhostContainer.

Acum mai mult ca oricând, este vital ca organizațiile să-și consolideze măsurile de securitate cibernetică, să efectueze periodic evaluări ale vulnerabilităților și să mențină la zi soluțiile de detecție și răspuns la incidente pentru a contracara astfel de pericole din ce în ce mai sofisticate.