Vietnam.vn - Nền tảng quảng bá Việt Nam

GhostContainer: Lỗ hổng mới tấn công máy chủ Microsoft Exchange thông qua mã độc backdoor

Nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) của Kaspersky vừa phát hiện một loại mã độc backdoor mới có tên GhostContainer, được xây dựng dựa trên các công cụ mã nguồn mở, là một loại mã độc tinh vi chưa từng được phát hiện trước đó.

Báo Sài Gòn Giải phóngBáo Sài Gòn Giải phóng25/07/2025

Theo Kaspersky, hiện tại vẫn chưa thể quy trách nhiệm cho nhóm tin tặc nào vì kẻ tấn công không để lộ bất kỳ dấu hiệu xâm nhập vào cơ sở hạ tầng nào
Theo Kaspersky, hiện tại vẫn chưa thể quy trách nhiệm cho nhóm tin tặc nào vì kẻ tấn công không để lộ bất kỳ dấu hiệu xâm nhập vào cơ sở hạ tầng nào

Nhóm GReAT đã phát hiện ra mã độc này trong quá trình ứng phó sự cố tại các hệ thống chính phủ có sử dụng Microsoft Exchange. GhostContainer được cho là một phần của chiến dịch tấn công mạng tinh vi và kéo dài (APT), nhắm vào những tổ chức quan trọng tại khu vực châu Á, bao gồm cả các công ty công nghệ lớn.

Tệp tin độc hại được Kaspersky phát hiện có tên gọi App_Web_Container_1.dll thực chất là một backdoor (cửa sau) đa chức năng, có khả năng mở rộng tuỳ biến bằng cách tải thêm các mô-đun khác từ xa. Mã độc này tận dụng nhiều dự án mã nguồn mở và được tùy biến tinh vi để tránh bị phát hiện.

Ảnh Kaspersky 1 - GhostContainer discovered Kaspersky identifies a new backdoor targeting Microsoft Exchange servers.jpg

Một khi cài thành công GhostContainer vào hệ thống, tin tặc dễ dàng kiểm soát hoàn toàn máy chủ Exchange, từ đó có thể thực hiện hàng loạt hành vi nguy hiểm mà người dùng không hề hay biết. Mã độc này được ngụy trang tinh vi dưới vỏ bọc một thành phần hợp lệ của máy chủ và sử dụng nhiều kỹ thuật né tránh giám sát để tránh bị phát hiện bởi các phần mềm diệt virus và qua mặt hệ thống giám sát an ninh.

Ngoài ra, mã độc này có thể hoạt động như một máy chủ trung gian (proxy) hoặc đường hầm mã hóa (tunnel), tạo kẽ hở để tin tặc xâm nhập vào hệ thống nội bộ hoặc đánh cắp thông tin nhạy cảm. Nhìn vào cách thức hoạt động này, các chuyên gia nghi ngờ mục đích chính của chiến dịch này rất có thể là do thám, gián điệp mạng (cyber espionage).

Ông Sergey Lozhkin, Trưởng nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) khu vực châu Á - Thái Bình Dương và Trung Đông - Châu Phi của Kaspersky nhận định: “Phân tích chuyên sâu của chúng tôi cho thấy thủ phạm đứng sau rất thành thạo trong việc xâm nhập vào hệ thống máy chủ Microsoft Exchange. Họ tận dụng nhiều công cụ mã nguồn mở để xâm nhập vào môi trường của IIS và Exchange, đồng thời phát triển các công cụ gián điệp tinh vi dựa trên mã nguồn mở có sẵn. Chúng tôi sẽ tiếp tục theo dõi hoạt động của nhóm này cũng như phạm vi và mức độ nguy hiểm của các cuộc tấn công, nhằm hiểu rõ hơn về bức tranh tổng thể của mối đe dọa”.

GhostContainer sử dụng mã từ nhiều dự án mã nguồn mở, nên hoàn toàn có thể bị lợi dụng bởi các nhóm tội phạm mạng hoặc các chiến dịch APT ở bất kỳ đâu trên thế giới. Đáng chú ý, tính đến cuối năm 2024, có tổng cộng 14.000 gói mã độc được phát hiện trong các dự án mã nguồn mở, tăng 48% so với cuối năm 2023. Con số này cho thấy mức độ rủi ro đang ngày càng tăng lên trong lĩnh vực.

Nguồn: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html


Bình luận (0)

No data
No data

Cùng chủ đề

Cùng chuyên mục

Đội hình mũi tên 5 tiêm kích SU-30MK2 đầy uy lực chuẩn bị cho đại lễ A80
Tên lửa S-300PMU1 trực chiến bảo vệ bầu trời Hà Nội
Mùa sen nở rộ thu hút du khách đến với vùng non nước hùng vĩ Ninh Bình
 Cù Lao Mái Nhà: Nơi sự hoang sơ, hùng vĩ và bình yên cùng hòa quyện

Cùng tác giả

Di sản

Nhân vật

Doanh nghiệp

No videos available

Thời sự

Hệ thống Chính trị

Địa phương

Sản phẩm