卡巴斯基發(fā)現(xiàn)針對 Microsoft Exchange 服務(wù)器的新后門程序

卡巴斯基全球研究與分析團隊（GReAT）發(fā)現(xiàn)了一種基于開源工具的新后門，稱為GhostContainer。這種以前未知的高度定制化惡意軟件是在一次事件響應(yīng)（IR）案例中發(fā)現(xiàn)的，目標是政府環(huán)境中的Exchange基礎(chǔ)設(shè)施。該惡意軟件可能是針對亞洲高價值目標（包括高科技公司）的高級持續(xù)威脅（APT）活動的一部分。

被卡巴斯基檢測為 App_Web_Container_1.dll 的文件被證明是一種復(fù)雜、多功能的后門，它利用了幾個開源項目，并且可以通過下載額外模塊來動態(tài)擴展其任意功能。

一旦加載，該后門就會為攻擊者提供對Exchange服務(wù)器的完全控制權(quán)，使他們能夠進行廣泛的惡意活動。為了避免被安全解決方案檢測到，它使用了多種規(guī)避技術(shù)，并將自己偽裝成一個合法的服務(wù)器組件，以便與正常操作融為一體。此外，它還可以作為代理或隧道，可能將內(nèi)部網(wǎng)絡(luò)暴露給外部威脅，或者促進從內(nèi)部系統(tǒng)中泄露敏感數(shù)據(jù)。因此，我們懷疑該活動的目標可能是網(wǎng)絡(luò)間諜活動。

“通過對攻擊事件的深入分析，我們認為攻擊者在滲透Exchange系統(tǒng)方便非常老練，能熟練利用各種開源項目滲透IIS和Exchange環(huán)境，他們還能夠基于開源代碼開發(fā)增強版的復(fù)雜間諜工具。我們將繼續(xù)監(jiān)測他們的活動，以及這些攻擊的范圍和規(guī)模，以便更好地了解威脅趨勢�！� 卡巴斯基全球研究與分析團隊（GReAT）亞太及中東和阿拉伯地區(qū)負責(zé)人 Sergey Lozhkin評論。

卡巴斯基大中華區(qū)總經(jīng)理鄭啟良表示：“GhostContainer 后門程序的出現(xiàn)再次敲響了網(wǎng)絡(luò)安全的警鐘，攻擊者利用開源工具的熟練程度與定制化惡意軟件的開發(fā)能力令人警惕。這要求企業(yè)不僅要提升技術(shù)防護能力，更需構(gòu)建從端點到網(wǎng)絡(luò)、從人員意識到安全運營的全維度防御體系�？ò退够鶎⒊掷m(xù)通過威脅情報共享、前沿技術(shù)培訓(xùn)和定制化安全解決方案，助力大中華區(qū)客戶應(yīng)對日益復(fù)雜的 APT 攻擊威脅�！�

該惡意軟件整合了多個可公開訪問的開源項目代碼，這些代碼可能被全球的黑客或APT團體利用。在我們掌握的攻擊活動中攻擊者尚未暴露任何基礎(chǔ)設(shè)施，暫時無法將GhostContainer歸因于任何已知的威脅行為者或者團體。值得注意的是，截至2024年底，已經(jīng)在開源項目中發(fā)現(xiàn)了總計14,000個惡意包，這比2023年底增加了48%，突出了這一領(lǐng)域日益增長的威脅。

在Securelist.com上閱讀完整報告

為了避免成為已知或未知威脅行為者的目標攻擊受害者，卡巴斯基研究人員建議實施以下措施：

l 為您的安全運營中心（SOC）團隊提供最新的威脅情報（TI）訪問權(quán)限，幫助他們掌握最及時的威脅信息�？ò退够�威脅情報平臺是一站式解決方案，提供了20多年來卡巴斯基收集的網(wǎng)絡(luò)攻擊數(shù)據(jù)和見解。

l 通過卡巴斯基在線培訓(xùn)提升您的網(wǎng)絡(luò)安全團隊的技能，幫助他們應(yīng)對最新的定向威脅。這些培訓(xùn)課程由GReAT專家開發(fā)，能夠提供最前沿的威脅應(yīng)對知識。

l 為了在端點級別實現(xiàn)實時檢測、調(diào)查和緩解事件，建議實施端點檢測和響應(yīng)（EDR）解決方案，例如卡巴斯基端點檢測和響應(yīng)。

l 除了基本的端點保護外，建議實施企業(yè)級的安全解決方案，以便在網(wǎng)絡(luò)級別上盡早檢測和應(yīng)對高級威脅，例如卡巴斯基反定向攻擊平臺。

l 由于許多定向攻擊都是從釣魚或其他社會工程技術(shù)開始的，建議引入安全意識培訓(xùn)，教會員工識別和防范這些攻擊的方法。卡巴斯基自動化安全意識平臺可以幫助您實現(xiàn)這一目標。

關(guān)于卡巴斯基

卡巴斯基是一家全球性的網(wǎng)絡(luò)安全和數(shù)字隱私公司，成立于 1997 年。迄今為止，已有超過 10 億臺設(shè)備受到保護，免受新出現(xiàn)的網(wǎng)絡(luò)威脅和針對性攻擊，卡巴斯基深厚的威脅情報和安全專業(yè)知識不斷轉(zhuǎn)化為創(chuàng)新的解決方案和服務(wù)，以保護全球的個人、企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施和政府。該公司全面的安全產(chǎn)品組合包括領(lǐng)先的個人設(shè)備數(shù)字生活保護、面向公司的專用安全產(chǎn)品和服務(wù)，以及用于應(yīng)對復(fù)雜且不斷發(fā)展的數(shù)字威脅的網(wǎng)絡(luò)免疫解決方案。我們幫助數(shù)百萬個人和超過 200,000 家企業(yè)客戶保護對他們最重要的資產(chǎn)。在 www.kaspersky.com 上了解更多信息。