Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), Microsoft Exchange sunucularını hedef alan GhostContainer adlı yeni bir arka kapı tespit etti.
Bu özelleştirilmiş kötü amaçlı yazılım, kamu ortamlarındaki Exchange altyapısını hedef alan bir olay müdahale vakası sırasında keşfedildi. Kaspersky, App_Web_Container_1.dll olarak tanımladığı bu dosyanın, çeşitli açık kaynak projelerinden yararlanan ve ek modül indirmeleri yoluyla genişletilebilen çok işlevli bir arka kapı olduğunu belirtti.
Arka kapı, yüklendikten sonra saldırganlara Exchange sunucusu üzerinde tam kontrol sağlıyor ve çeşitli kötü niyetli faaliyetlere olanak tanıyor. Güvenlik çözümlerinin tespitinden kaçınmak için çeşitli teknikler kullanıyor ve normal işlemlere karışmak için kendisini meşru bir sunucu bileşeni gibi gösteriyor. Ayrıca, bir proxy veya tünel görevi görerek potansiyel olarak dahili ağı dış tehditlere maruz bırakabiliyor veya hassas verilerin sistemlerden dışarı sızmasını kolaylaştırabiliyor.
GReAT APAC & META Başkanı Sergey Lozhkin, saldırganların Exchange sistemlerini istismar etme ve IIS ve Exchange ortamlarına sızma konusunda yetenekli olduklarını, ayrıca halka açık koda dayalı casusluk araçları geliştirdiklerini söyledi.
Saldırganlar herhangi bir altyapıyı ifşa etmedikleri için şu anda GhostContainer’ı bilinen herhangi bir tehdit aktörü grubuyla ilişkilendirmek mümkün değil. Kötü amaçlı yazılım, dünya genelindeki bilgisayar korsanları veya APT grupları tarafından kullanılabilecek, halka açık birkaç açık kaynak projesinden gelen kodları içeriyor. 2024 yılı sonu itibariyle, açık kaynak projelerinde toplam 14 bin kötü amaçlı paket tespit edildi. Bu, 2023 yılı sonuna kıyasla %48’lik bir artış anlamına geliyor.
Kaspersky araştırmacıları, olası saldırılara karşı SOC ekiplerinin en son tehdit istihbaratına erişmesini, siber güvenlik ekiplerinin eğitilmesini, EDR çözümleri uygulanmasını ve Kaspersky Anti Targeted Attack Platform gibi kurumsal düzeyde bir güvenlik çözümü kullanılmasını öneriyor.
