Laut dem Global Research and Analysis Team (GReAT) wurde die GhostContainer-Malware im Rahmen einer langfristigen Advanced Persistent Threat (APT)-Kampagne auf Systemen mit Microsoft Exchange installiert, die sich an wichtige Organisationen in der Region Asien richteten, darunter auch große Technologieunternehmen.
GhostContainer, versteckt in einer Datei namens App_Web_Container_1.dll, ist in Wirklichkeit eine vielseitige Backdoor. Sie kann ihre Funktionalität durch das Laden zusätzlicher Remote-Module erweitern und basiert auf verschiedenen Open-Source-Tools. Die Schadsoftware tarnt sich als legitime Komponente des Hostsystems und nutzt ausgeklügelte Ausweichtechniken, um Sicherheitssoftware und Überwachungssysteme zu umgehen.
Sobald GhostContainer in ein System eingedrungen ist, können Angreifer die Kontrolle über den Exchange-Server übernehmen. Er kann als Proxy oder verschlüsselter Tunnel fungieren und so tiefer in das interne Netzwerk eindringen oder sensible Daten unentdeckt stehlen. Experten vermuten daher, dass die Kampagne der Cyberspionage dient.
Sergey Lozhkin, Leiter von Kasperskys GReAT-Abteilung für den asiatisch- pazifischen Raum und den Nahen Osten und Afrika, erklärte, dass die Gruppe hinter GhostContainer über umfassende Kenntnisse der Exchange- und IIS-Serverumgebungen verfüge. Sie verwende Open-Source-Code, um anspruchsvolle Angriffstools zu entwickeln und gleichzeitig offensichtliche Spuren zu vermeiden, was die Rückverfolgung der Quelle sehr schwierig mache.
Es lässt sich noch nicht feststellen, welche Gruppe hinter dieser Kampagne steckt, da die Schadsoftware Code aus zahlreichen Open-Source-Projekten verwendet – was bedeutet, dass sie wahrscheinlich von vielen verschiedenen cyberkriminellen Gruppen weltweit ausgenutzt wird. Statistiken zufolge wurden bis Ende 2024 rund 14.000 Schadsoftware-Pakete in Open-Source-Projekten entdeckt, 48 % mehr als Ende 2023. Dies zeigt, dass die Sicherheitsrisiken durch Open Source immer ernster werden.
Um das Risiko zu verringern, Opfer gezielter Cyberangriffe zu werden, sollten Unternehmen ihren Sicherheitsteams laut Kaspersky Zugriff auf aktuelle Bedrohungsinformationen gewähren.
Die Weiterbildung von Cybersicherheitsteams ist unerlässlich, um ihre Fähigkeit zu verbessern, komplexe Angriffe zu erkennen und darauf zu reagieren. Unternehmen sollten außerdem Lösungen zur Endpunkterkennung und Fehlerbehebung einsetzen, kombiniert mit Überwachungs- und Schutztools auf Netzwerkebene.
Da viele Angriffe mit Phishing-E-Mails oder anderen Formen psychologischer Täuschung beginnen, müssen Unternehmen ihre Mitarbeiter regelmäßig im Bereich Sicherheit schulen. Investitionen in Technologie, Personal und Prozesse sind entscheidend, um Unternehmen dabei zu unterstützen, ihre Abwehrkräfte gegen immer raffiniertere Bedrohungen zu stärken.
Quelle: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
Kommentar (0)