JAKARTA - Tim Riset dan Analisis Global Kaspersky (GReAT) telah mengungkap backdoor baru berbasis perangkat lunak sumber terbuka, yang dijuluki GhostContainer.
Malware yang sebelumnya tidak dikenal dan sangat terkustomisasi ini ditemukan dalam kasus respons insiden (IR), yang menargetkan infrastruktur Exchange di ekosistem pemerintahan.
“Analisis mendalam kami mengungkapkan bahwa para penyerang sangat terampil dalam mengeksploitasi sistem Exchange dan memanfaatkan berbagai proyek sumber terbuka,” kata Sergey Lozhkin, Kepala GReAT, APAC & META.
Malware ini kemungkinan merupakan bagian dari kampanye ancaman persisten tingkat lanjut (APT) yang menargetkan entitas bernilai tinggi di Asia, termasuk perusahaan teknologi tinggi..
Setelah dimuat, backdoor ini memberi penyerang kendali penuh atas server Exchange, yang memungkinkan berbagai aktivitas berbahaya.
Untuk menghindari deteksi oleh solusi keamanan, GhostContainer menggunakan beberapa teknik penghindaran dan menampilkan dirinya sebagai komponen server yang sah untuk berbaur dengan operasi normal.
BACA JUGA:
Salah itu, GhostContainer dapat bertindak sebagai proksi atau tunnel, yang berpotensi mengekspos jaringan internal terhadap ancaman eksternal atau memfasilitasi eksfiltrasi data sensitif dari sistem internal. Oleh karena itu, spionase siber diduga menjadi tujuan kampanye ini.
Tapi sayangnya, saat ini, GhostContainer belum dapat dikaitkan dengan kelompok pelaku ancaman mana pun, karena penyerang belum mengekspos infrastruktur apa pun.
“Kami akan terus memantau aktivitas mereka, beserta cakupan dan skala serangan ini, untuk mendapatkan pemahaman lebih baik tentang lanskap ancaman tersebut.” tambahnya.