وقال فريق البحث والتحليل العالمي (GReAT)، إن برنامج GhostContainer الخبيث تم تثبيته في أنظمة تستخدم Microsoft Exchange، كجزء من حملة تهديدات مستمرة متقدمة (APT) طويلة الأمد تستهدف المنظمات الرئيسية في منطقة آسيا، بما في ذلك شركات التكنولوجيا الكبرى.
GhostContainer، المختبئ في ملف يُسمى App_Web_Container_1.dll، هو في الواقع باب خلفي متعدد الأغراض. قادر على توسيع وظائفه بتحميل وحدات تحكم عن بُعد إضافية، ويعتمد على مجموعة متنوعة من أدوات المصدر المفتوح. يتخفى هذا البرنامج الخبيث كمكون شرعي للنظام المضيف، مستخدمًا أساليب تحايل متطورة لتجاوز برامج الأمان وأنظمة المراقبة.
بمجرد دخوله إلى النظام، يسمح GhostContainer للمهاجمين بالسيطرة على خادم Exchange. يمكن أن يعمل بمثابة وكيل أو نفق مشفر، مما يسمح باختراق أعمق للشبكة الداخلية أو سرقة بيانات حساسة دون أن يتم اكتشافه. وقد دفعت هذه الإجراءات الخبراء إلى الشك في أن الحملة تهدف إلى التجسس الإلكتروني.
صرح سيرجي لوزكين، رئيس قسم كاسبرسكي لأبحاث البرمجيات الخبيثة (GReAT) في منطقة آسيا والمحيط الهادئ والشرق الأوسط وأفريقيا، بأن فريق GhostContainer يتمتع بخبرة واسعة في بيئات خوادم Exchange وIIS. ويستخدمون شيفرة مفتوحة المصدر لتطوير أدوات هجوم متطورة مع تجنب أي آثار واضحة، مما يُصعّب تتبع المصدر.
لم يتسن بعد تحديد الجهة المسؤولة عن هذه الحملة، إذ يستخدم البرنامج الخبيث شيفرات من العديد من مشاريع البرمجيات مفتوحة المصدر، مما يعني أنه من المرجح استغلاله على نطاق واسع من قبل العديد من مجموعات الجريمة الإلكترونية المختلفة حول العالم. والجدير بالذكر أنه، وفقًا للإحصاءات، تم اكتشاف ما يقرب من 14,000 حزمة برمجية خبيثة في مشاريع البرمجيات مفتوحة المصدر بحلول نهاية عام 2024، بزيادة قدرها 48% مقارنة بنهاية عام 2023، مما يدل على أن المخاطر الأمنية الناجمة عن البرمجيات مفتوحة المصدر تتزايد خطورة.
لتقليل خطر الوقوع ضحية للهجمات الإلكترونية المستهدفة، يجب على الشركات تزويد فرق عمليات الأمن لديها بإمكانية الوصول إلى موارد استخبارات التهديدات المحدثة، وفقًا لكاسبيرسكي.
يُعدّ صقل مهارات فرق الأمن السيبراني أمرًا بالغ الأهمية لتعزيز قدرتها على اكتشاف الهجمات المتطورة والاستجابة لها. كما ينبغي على الشركات نشر حلول الكشف عن نقاط النهاية واستكشاف الأخطاء وإصلاحها، إلى جانب أدوات مراقبة وحماية على مستوى الشبكة.
بالإضافة إلى ذلك، بما أن العديد من الهجمات تبدأ برسائل تصيد احتيالي عبر البريد الإلكتروني أو أشكال أخرى من الخداع النفسي، يتعين على المؤسسات توفير تدريب دوري على التوعية الأمنية لموظفيها. يُعد الاستثمار في التكنولوجيا والكوادر والعمليات على نطاق واسع أمرًا أساسيًا لمساعدة الشركات على تعزيز دفاعاتها ضد التهديدات المتطورة بشكل متزايد.
المصدر: https://nld.com.vn/ma-doc-an-minh-trong-microsoft-exchange-phat-hien-gian-diep-mang-tinh-vi-196250724165422125.htm
تعليق (0)