グローバル調査分析チーム(GReAT)によると、GhostContainerマルウェアは、大手テクノロジー企業を含むアジア地域の主要組織を標的とした長期の高度な持続的脅威(APT)キャンペーンの一環として、Microsoft Exchangeを使用しているシステムにインストールされました。
App_Web_Container_1.dllというファイルに隠されたGhostContainerは、実際には多目的なバックドアです。追加のリモートモジュールをロードすることで機能を拡張することができ、様々なオープンソースツールを基盤としています。このマルウェアは、高度な回避技術を用いてセキュリティソフトウェアや監視システムを回避し、ホストシステムの正規のコンポーネントに偽装します。
GhostContainerはシステムに侵入すると、攻撃者がExchangeサーバーを制御下に置くことを可能にします。プロキシや暗号化されたトンネルとして機能し、内部ネットワークの奥深くまで侵入したり、検知されることなく機密データを盗み出したりすることが可能になります。これらの動作から、専門家はこのキャンペーンがサイバースパイ活動を目的としているのではないかと疑っています。
カスペルスキーのGReATアジア太平洋地域および中東アフリカチームの責任者であるセルゲイ・ロズキン氏は、GhostContainerの背後にいるグループはExchangeサーバーとIISサーバー環境について非常に深い知識を持っていると述べています。彼らはオープンソースコードを用いて高度な攻撃ツールを開発しながらも、明白な痕跡を残さないため、出所の追跡が非常に困難になっています。
このマルウェアは複数のオープンソースプロジェクトのコードを使用しているため、このキャンペーンの背後にどのグループがあるのかは現時点では不明です。つまり、世界中の様々なサイバー犯罪グループによって広く利用されている可能性が高いということです。特に、統計によると、2024年末までにオープンソースプロジェクトで約14,000個のマルウェアパッケージが検出されており、これは2023年末と比較して48%増加しており、オープンソースに起因するセキュリティリスクがますます深刻化していることを示しています。
カスペルスキーによれば、標的型サイバー攻撃の被害に遭うリスクを減らすには、企業はセキュリティ運用チームに最新の脅威情報源へのアクセスを提供する必要がある。
高度な攻撃を検知し、対応する能力を高めるには、サイバーセキュリティチームのスキルアップが不可欠です。企業は、エンドポイント検出およびトラブルシューティングソリューションに加え、ネットワークレベルの監視および保護ツールも導入する必要があります。
さらに、多くの攻撃はフィッシングメールやその他の心理的欺瞞から始まるため、組織は従業員に対して定期的にセキュリティ意識向上トレーニングを実施する必要があります。テクノロジー、人材、プロセスへの協調的な投資は、ますます複雑化する脅威に対する企業の防御力強化の鍵となります。
出典: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
コメント (0)