カスペルスキーがマイクロソフトエクスチェンジのサーバーをターゲットにした新しいバックドアを見つけました

ジャカルタ - カスペルスキーのグローバル調査分析チーム(GReAT)は、GhostContainerと呼ばれるオープンソースソフトウェアベースの新しいバックドアを明らかにしました。

以前は知られていなかったか、高度にカスタマイズされたマルウェアは、政府のエコシステムの取引所インフラストラクチャを標的としたインシデント対応(IR)ケースで発見されました。

「私たちの詳細な分析によると、攻撃者はExchangeシステムの悪用とさまざまなオープンソースプロジェクトの活用に非常に熟練しています」と、APAC & METAのGReAT責任者であるSergey Lozhkinは述べています。

このマルウェアは、ハイテク企業を含むアジアの価値の高いエンティティを標的とした高度な持続的脅威キャンペーン(APT)の一部である可能性があります。

読み込まれた後、このバックドアは攻撃者に Exchange サーバーを完全に制御できるため、さまざまな悪意のあるアクティビティが可能になります。

セキュリティソリューションによる検出を回避するために、GhostContainerはいくつかの回避テクニックを使用し、正常な操作に溶け込むための正当なサーバーコンポーネントとして自分自身を表示します。

一方、GhostContainerは代理またはトンネルとして機能し、外部の脅威に内部ネットワークをさらしたり、内部システムからの機密データのろ過を容易にしたりする可能性があります。したがって、サイバースパイ活動はこのキャンペーンの目的であると言われています。

しかし残念なことに、現時点では、攻撃者はインフラストラクチャを公開していないため、GhostContainerは脅威アクターのグループと関連付けることはできません。

「私たちは、これらの脅威の状況をよりよく理解するために、これらの攻撃の範囲と規模とともに、彼らの活動を引き続き監視します」と彼は付け加えました。