GhostContainer: ثغرة أمنية جديدة تهاجم خوادم Microsoft Exchange عبر برامج ضارة خلفية

اكتشف فريق GReAT البرمجية الخبيثة أثناء عمليات الاستجابة للحوادث على الأنظمة الحكومية التي تستخدم Microsoft Exchange. ويُعتقد أن GhostContainer جزء من حملة تهديدات متقدمة ومستمرة (APT) متطورة تستهدف مؤسسات رئيسية في منطقة آسيا، بما في ذلك شركات تكنولوجيا كبرى.

الملف الخبيث الذي اكتشفه كاسبرسكي، والمسمى App_Web_Container_1.dll، هو في الواقع باب خلفي متعدد الوظائف يمكن توسيعه بتنزيل وحدات إضافية عن بُعد. يستغل هذا البرنامج الخبيث العديد من مشاريع المصدر المفتوح، وهو مُعدّل بدقة لتجنب اكتشافه.

بمجرد تثبيت GhostContainer بنجاح على النظام، يمكن للمتسللين بسهولة السيطرة الكاملة على خادم Exchange، ومنه يمكنهم تنفيذ سلسلة من الإجراءات الخطيرة دون علم المستخدم. يتخفى هذا البرنامج الخبيث بذكاء على أنه مكون صالح للخادم، ويستخدم العديد من أساليب التهرب من المراقبة لتجنب اكتشافه بواسطة برامج مكافحة الفيروسات وتجاوز أنظمة مراقبة الأمان.

بالإضافة إلى ذلك، يمكن لهذا البرنامج الخبيث أن يعمل كخادم وكيل أو نفق مشفر، مما يُتيح للمخترقين ثغراتٍ لاختراق الأنظمة الداخلية أو سرقة معلوماتٍ حساسة. وبالنظر إلى هذه الطريقة في العمل، يشتبه الخبراء في أن الهدف الرئيسي لهذه الحملة هو التجسس الإلكتروني على الأرجح.

يُظهر تحليلنا المُعمّق أن الجناة يتمتعون بمهارة عالية في اختراق أنظمة خوادم Microsoft Exchange. ويستخدمون مجموعة متنوعة من أدوات المصدر المفتوح لاختراق بيئات IIS و Exchange ، ويطورون أدوات تجسس متطورة تعتمد على برمجيات مفتوحة المصدر متاحة. وصرح سيرجي لوزكين، رئيس فريق البحث والتحليل العالمي (GReAT) لمنطقة آسيا والمحيط الهادئ والشرق الأوسط وأفريقيا في كاسبرسكي، قائلاً: "سنواصل مراقبة أنشطة المجموعة، بالإضافة إلى نطاق وشدة هجماتها، لفهم الصورة العامة للتهديد بشكل أفضل".

المصدر: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html