اكتشف فريق GReAT البرمجية الخبيثة خلال جهود الاستجابة للحوادث في الأنظمة الحكومية التي تستخدم Microsoft Exchange. ويُعتقد أن GhostContainer جزء من حملة تهديدات متقدمة ومستمرة (APT) متطورة تستهدف مؤسسات رئيسية في منطقة آسيا، بما في ذلك شركات تكنولوجيا كبرى.
الملف الخبيث الذي اكتشفه كاسبرسكي، والمسمى App_Web_Container_1.dll، هو في الواقع باب خلفي متعدد الوظائف يمكن توسيعه بتنزيل وحدات إضافية عن بُعد. يستغل هذا البرنامج الخبيث العديد من مشاريع المصدر المفتوح، وهو مُعدّل بدقة لتجنب اكتشافه.
بمجرد تثبيت GhostContainer بنجاح على النظام، يمكن للمخترقين بسهولة السيطرة الكاملة على خادم Exchange، ومنه يمكنهم تنفيذ سلسلة من الإجراءات الخطيرة دون علم المستخدم. يتخفى هذا البرنامج الخبيث بذكاء على أنه مكون خادم صالح، ويستخدم العديد من أساليب التهرب من المراقبة لتجنب اكتشافه بواسطة برامج مكافحة الفيروسات وتجاوز أنظمة مراقبة الأمان.
بالإضافة إلى ذلك، يمكن أن يعمل هذا البرنامج الخبيث كخادم وسيط (بروكسي) أو نفق مشفر (نفق)، مما يُتيح للمخترقين ثغراتٍ لاختراق الأنظمة الداخلية أو سرقة معلوماتٍ حساسة. وبالنظر إلى هذه الطريقة في العمل، يشتبه الخبراء في أن الهدف الرئيسي لهذه الحملة هو على الأرجح التجسس الإلكتروني.
يُظهر تحليلنا المُعمّق أن الجناة يتمتعون بمهارة عالية في اختراق خوادم Microsoft Exchange. ويستخدمون مجموعة متنوعة من أدوات المصدر المفتوح لاختراق بيئات IIS و Exchange ، وقد طوروا أدوات تجسس متطورة تعتمد على شيفرات مفتوحة المصدر متاحة. وصرح سيرجي لوزكين، رئيس فريق البحث والتحليل العالمي (GReAT) لمنطقة آسيا والمحيط الهادئ والشرق الأوسط وأفريقيا في كاسبرسكي، قائلاً: "سنواصل مراقبة أنشطة المجموعة، بالإضافة إلى نطاق وشدة هجماتها، لفهم المشهد العام للتهديدات بشكل أفضل".
يستخدم GhostContainer برمجيات من مشاريع مفتوحة المصدر متعددة، مما يجعله عرضة بشدة لهجمات مجموعات المجرمين الإلكترونيين أو حملات التهديدات المتقدمة المستمرة (APT) في جميع أنحاء العالم . والجدير بالذكر أنه بحلول نهاية عام 2024، تم اكتشاف ما مجموعه 14,000 حزمة برمجيات خبيثة في مشاريع مفتوحة المصدر، بزيادة قدرها 48% عن نهاية عام 2023. ويُظهر هذا الرقم تزايد مستوى المخاطر في هذا المجال.
المصدر: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
تعليق (0)