卡巴斯基發(fā)現(xiàn)針對(duì) Microsoft Exchange 服務(wù)器的新后門程序

卡巴斯基全球研究與分析團(tuán)隊(duì)（GReAT）發(fā)現(xiàn)了一種基于開(kāi)源工具的新后門，稱為GhostContainer。這種以前未知的高度定制化惡意軟件是在一次事件響應(yīng)（IR）案例中發(fā)現(xiàn)的，目標(biāo)是政府環(huán)境中的Exchange基礎(chǔ)設(shè)施。該惡意軟件可能是針對(duì)亞洲高價(jià)值目標(biāo)（包括高科技公司）的高級(jí)持續(xù)威脅（APT）活動(dòng)的一部分。

被卡巴斯基檢測(cè)為 App_Web_Container_1.dll 的文件被證明是一種復(fù)雜、多功能的后門，它利用了幾個(gè)開(kāi)源項(xiàng)目，并且可以通過(guò)下載額外模塊來(lái)動(dòng)態(tài)擴(kuò)展其任意功能。

一旦加載，該后門就會(huì)為攻擊者提供對(duì)Exchange服務(wù)器的完全控制權(quán)，使他們能夠進(jìn)行廣泛的惡意活動(dòng)。為了避免被安全解決方案檢測(cè)到，它使用了多種規(guī)避技術(shù)，并將自己偽裝成一個(gè)合法的服務(wù)器組件，以便與正常操作融為一體。此外，它還可以作為代理或隧道，可能將內(nèi)部網(wǎng)絡(luò)暴露給外部威脅，或者促進(jìn)從內(nèi)部系統(tǒng)中泄露敏感數(shù)據(jù)。因此，我們懷疑該活動(dòng)的目標(biāo)可能是網(wǎng)絡(luò)間諜活動(dòng)。

“通過(guò)對(duì)攻擊事件的深入分析，我們認(rèn)為攻擊者在滲透Exchange系統(tǒng)方便非常老練，能熟練利用各種開(kāi)源項(xiàng)目滲透IIS和Exchange環(huán)境，他們還能夠基于開(kāi)源代碼開(kāi)發(fā)增強(qiáng)版的復(fù)雜間諜工具。我們將繼續(xù)監(jiān)測(cè)他們的活動(dòng)，以及這些攻擊的范圍和規(guī)模，以便更好地了解威脅趨勢(shì)�！� 卡巴斯基全球研究與分析團(tuán)隊(duì)（GReAT）亞太及中東和阿拉伯地區(qū)負(fù)責(zé)人 Sergey Lozhkin評(píng)論。

卡巴斯基大中華區(qū)總經(jīng)理鄭啟良表示：“GhostContainer 后門程序的出現(xiàn)再次敲響了網(wǎng)絡(luò)安全的警鐘，攻擊者利用開(kāi)源工具的熟練程度與定制化惡意軟件的開(kāi)發(fā)能力令人警惕。這要求企業(yè)不僅要提升技術(shù)防護(hù)能力，更需構(gòu)建從端點(diǎn)到網(wǎng)絡(luò)、從人員意識(shí)到安全運(yùn)營(yíng)的全維度防御體系�？ò退够鶎⒊掷m(xù)通過(guò)威脅情報(bào)共享、前沿技術(shù)培訓(xùn)和定制化安全解決方案，助力大中華區(qū)客戶應(yīng)對(duì)日益復(fù)雜的 APT 攻擊威脅。”

該惡意軟件整合了多個(gè)可公開(kāi)訪問(wèn)的開(kāi)源項(xiàng)目代碼，這些代碼可能被全球的黑客或APT團(tuán)體利用。在我們掌握的攻擊活動(dòng)中攻擊者尚未暴露任何基礎(chǔ)設(shè)施，暫時(shí)無(wú)法將GhostContainer歸因于任何已知的威脅行為者或者團(tuán)體。值得注意的是，截至2024年底，已經(jīng)在開(kāi)源項(xiàng)目中發(fā)現(xiàn)了總計(jì)14,000個(gè)惡意包，這比2023年底增加了48%，突出了這一領(lǐng)域日益增長(zhǎng)的威脅。

在Securelist.com上閱讀完整報(bào)告

為了避免成為已知或未知威脅行為者的目標(biāo)攻擊受害者，卡巴斯基研究人員建議實(shí)施以下措施：

l 為您的安全運(yùn)營(yíng)中心（SOC）團(tuán)隊(duì)提供最新的威脅情報(bào)（TI）訪問(wèn)權(quán)限，幫助他們掌握最及時(shí)的威脅信息。卡巴斯基威脅情報(bào)平臺(tái)是一站式解決方案，提供了20多年來(lái)卡巴斯基收集的網(wǎng)絡(luò)攻擊數(shù)據(jù)和見(jiàn)解。

l 通過(guò)卡巴斯基在線培訓(xùn)提升您的網(wǎng)絡(luò)安全團(tuán)隊(duì)的技能，幫助他們應(yīng)對(duì)最新的定向威脅。這些培訓(xùn)課程由GReAT專家開(kāi)發(fā)，能夠提供最前沿的威脅應(yīng)對(duì)知識(shí)。

l 為了在端點(diǎn)級(jí)別實(shí)現(xiàn)實(shí)時(shí)檢測(cè)、調(diào)查和緩解事件，建議實(shí)施端點(diǎn)檢測(cè)和響應(yīng)（EDR）解決方案，例如卡巴斯基端點(diǎn)檢測(cè)和響應(yīng)。

l 除了基本的端點(diǎn)保護(hù)外，建議實(shí)施企業(yè)級(jí)的安全解決方案，以便在網(wǎng)絡(luò)級(jí)別上盡早檢測(cè)和應(yīng)對(duì)高級(jí)威脅，例如卡巴斯基反定向攻擊平臺(tái)。

l 由于許多定向攻擊都是從釣魚或其他社會(huì)工程技術(shù)開(kāi)始的，建議引入安全意識(shí)培訓(xùn)，教會(huì)員工識(shí)別和防范這些攻擊的方法�？ò退够�自動(dòng)化安全意識(shí)平臺(tái)可以幫助您實(shí)現(xiàn)這一目標(biāo)。

關(guān)于卡巴斯基

卡巴斯基是一家全球性的網(wǎng)絡(luò)安全和數(shù)字隱私公司，成立于 1997 年。迄今為止，已有超過(guò) 10 億臺(tái)設(shè)備受到保護(hù)，免受新出現(xiàn)的網(wǎng)絡(luò)威脅和針對(duì)性攻擊，卡巴斯基深厚的威脅情報(bào)和安全專業(yè)知識(shí)不斷轉(zhuǎn)化為創(chuàng)新的解決方案和服務(wù)，以保護(hù)全球的個(gè)人、企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施和政府。該公司全面的安全產(chǎn)品組合包括領(lǐng)先的個(gè)人設(shè)備數(shù)字生活保護(hù)、面向公司的專用安全產(chǎn)品和服務(wù)，以及用于應(yīng)對(duì)復(fù)雜且不斷發(fā)展的數(shù)字威脅的網(wǎng)絡(luò)免疫解決方案。我們幫助數(shù)百萬(wàn)個(gè)人和超過(guò) 200,000 家企業(yè)客戶保護(hù)對(duì)他們最重要的資產(chǎn)。在 www.kaspersky.com 上了解更多信息。