Kaspersky : Une nouvelle portefeuille ciblée par le serveur Microsoft Exchange

Illustration de logiciels malveillants (photo: Freepik)

ARTA - L’équipe mondiale de recherche et d’analyse de Kaspersky (GReAT) a révélé une nouvelle porte d’entrée basée sur des logiciels open source, appelée GhostContainer.

rénal, qui n'était pas encore connu et très personnalisé, a été trouvé dans un cas de réponse à des incidents (IR), qui cible l'infrastructure d'exchange dans l'écosystème du gouvernement.

ina S.V. (Notre analyse approfondie révèle que les attaquants sont très bons dans l’exploitation du système d’exchange et l’utilisation de divers projets à libre-source », a déclaré Sergueï Lozhkin, chef de GReAT, APAC & Méta.

al est probablement dans le cadre d’une campagne de menace persistante (APT) avancée visant des entités de grande valeur en Asie, y compris des entreprises de haute technologie.

Une fois téléchargé, cette porte arrière donne à l’attaquant un contrôle total sur le serveur Exchange, ce qui permet une variété d’activités malveillantes.

Pour éviter la détection par les solutions de sécurité, GhostContainer utilise plusieurs techniques d’éviction et se présentant comme un composant serveur légitime pour se mêler au fonctionnement normal.

GhostContainer peut agir comme un agent de placement ou un tunnel, qui a le potentiel d’exposer les réseaux internes aux menaces externes ou de faciliter l’excavation de données sensibles à partir de systèmes internes. Par conséquent, le cyberespionnage est soupçonné d’être la cible de cette campagne.

Mais malheureusement, GhostContainer ne peut être associé à aucun groupe d’agresseurs menacés, car les attaquants n’ont pas exposé d’infrastructure.

ronyme. « Nous continuerons à surveiller leurs activités, ainsi que la portée et l’ampleur de ces attaques, afin d’obtenir une meilleure compréhension du paysage menacé », a-t-il ajouté.