Nhóm GReAT đã phát hiện ra mã độc này trong quá trình ứng phó sự cố tại các hệ thống chính phủ có sử dụng Microsoft Exchange. GhostContainer được cho là một phần của chiến dịch tấn công mạng tinh vi và kéo dài (APT), nhắm vào những tổ chức quan trọng tại khu vực châu Á, bao gồm cả các công ty công nghệ lớn.
Tệp tin độc hại được Kaspersky phát hiện có tên gọi App_Web_Container_1.dll thực chất là một backdoor (cửa sau) đa chức năng, có khả năng mở rộng tuỳ biến bằng cách tải thêm các mô-đun khác từ xa. Mã độc này tận dụng nhiều dự án mã nguồn mở và được tùy biến tinh vi để tránh bị phát hiện.

Một khi cài thành công GhostContainer vào hệ thống, tin tặc dễ dàng kiểm soát hoàn toàn máy chủ Exchange, từ đó có thể thực hiện hàng loạt hành vi nguy hiểm mà người dùng không hề hay biết. Mã độc này được ngụy trang tinh vi dưới vỏ bọc một thành phần hợp lệ của máy chủ và sử dụng nhiều kỹ thuật né tránh giám sát để tránh bị phát hiện bởi các phần mềm diệt virus và qua mặt hệ thống giám sát an ninh.
Ngoài ra, mã độc này có thể hoạt động như một máy chủ trung gian (proxy) hoặc đường hầm mã hóa (tunnel), tạo kẽ hở để tin tặc xâm nhập vào hệ thống nội bộ hoặc đánh cắp thông tin nhạy cảm. Nhìn vào cách thức hoạt động này, các chuyên gia nghi ngờ mục đích chính của chiến dịch này rất có thể là do thám, gián điệp mạng (cyber espionage).
Ông Sergey Lozhkin, Trưởng nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) khu vực châu Á - Thái Bình Dương và Trung Đông - Châu Phi của Kaspersky nhận định: “Phân tích chuyên sâu của chúng tôi cho thấy thủ phạm đứng sau rất thành thạo trong việc xâm nhập vào hệ thống máy chủ Microsoft Exchange. Họ tận dụng nhiều công cụ mã nguồn mở để xâm nhập vào môi trường của IIS và Exchange, đồng thời phát triển các công cụ gián điệp tinh vi dựa trên mã nguồn mở có sẵn. Chúng tôi sẽ tiếp tục theo dõi hoạt động của nhóm này cũng như phạm vi và mức độ nguy hiểm của các cuộc tấn công, nhằm hiểu rõ hơn về bức tranh tổng thể của mối đe dọa”.
GhostContainer sử dụng mã từ nhiều dự án mã nguồn mở, nên hoàn toàn có thể bị lợi dụng bởi các nhóm tội phạm mạng hoặc các chiến dịch APT ở bất kỳ đâu trên thế giới. Đáng chú ý, tính đến cuối năm 2024, có tổng cộng 14.000 gói mã độc được phát hiện trong các dự án mã nguồn mở, tăng 48% so với cuối năm 2023. Con số này cho thấy mức độ rủi ro đang ngày càng tăng lên trong lĩnh vực.
Nguồn: https://www.sggp.org.vn/ghostcontainer-lo-hong-moi-tan-cong-may-chu-microsoft-exchange-thong-qua-ma-doc-backdoor-post805372.html
Bình luận (0)