Đây là một loại mã độc tinh vi, chưa từng được phát hiện trước đó. Nhóm GReAT đã phát hiện ra mã độc này trong quá trình ứng phó sự cố tại các hệ thống chính phủ có sử dụng Microsoft Exchange. GhostContainer được cho là một phần của chiến dịch tấn công mạng tinh vi và kéo dài (APT), nhắm vào những tổ chức quan trọng tại khu vực châu Á, bao gồm cả các công ty công nghệ lớn.
Kaspersky phát hiện GhostContainer - lỗ hổng mới tấn công máy chủ Microsoft Exchange thông qua mã độc backdoor
Ảnh: Kaspersky
Tệp tin độc hại được Kaspersky phát hiện có tên gọi App_Web_Container_1.dll thực chất là một backdoor đa chức năng, có khả năng mở rộng tùy biến bằng cách tải thêm các mô-đun khác từ xa. Mã độc này tận dụng nhiều dự án mã nguồn mở và được tùy biến tinh vi để tránh bị phát hiện.
Một khi cài thành công GhostContainer vào hệ thống, tin tặc dễ dàng kiểm soát hoàn toàn máy chủ Exchange, từ đó có thể thực hiện hàng loạt hành vi nguy hiểm mà người dùng không hề hay biết. Mã độc này được ngụy trang tinh vi dưới vỏ bọc một thành phần hợp lệ của máy chủ và sử dụng nhiều kỹ thuật né tránh giám sát để tránh bị phát hiện bởi các phần mềm diệt virus và qua mặt hệ thống giám sát an ninh.
Ngoài ra, mã độc này có thể hoạt động như một máy chủ trung gian (proxy) hoặc đường hầm mã hóa (tunnel), tạo kẽ hở để tin tặc xâm nhập vào hệ thống nội bộ hoặc đánh cắp thông tin nhạy cảm. Nhìn vào cách thức hoạt động này, các chuyên gia nghi ngờ mục đích chính của chiến dịch này có thể là do thám, gián điệp mạng (cyber espionage).
Ông Sergey Lozhkin, Trưởng nhóm Nghiên cứu và Phân tích Toàn cầu khu vực châu Á - Thái Bình Dương và Trung Đông - châu Phi của Kaspersky nhận định: "Phân tích chuyên sâu của chúng tôi cho thấy thủ phạm đứng sau rất thành thạo trong việc xâm nhập vào hệ thống máy chủ Microsoft Exchange. Họ tận dụng nhiều công cụ mã nguồn mở để xâm nhập vào môi trường của IIS và Exchange, đồng thời phát triển các công cụ gián điệp tinh vi dựa trên mã nguồn mở có sẵn. Chúng tôi sẽ tiếp tục theo dõi hoạt động của nhóm này cũng như phạm vi và mức độ nguy hiểm của các cuộc tấn công, nhằm hiểu rõ hơn về bức tranh tổng thể của mối đe dọa".
Để tránh trở thành nạn nhân của các cuộc tấn công có chủ đích đến từ nhóm tội phạm mạng đã biết hay chưa được phát hiện, các chuyên gia của Kaspersky khuyến nghị doanh nghiệp nên áp dụng một số biện pháp sau:
- Trang bị cho đội ngũ vận hành an ninh (SOC) quyền truy cập vào các nguồn thông tin về mối đe dọa mới nhất. Nền tảng Kaspersky Threat Intelligence là nơi tập hợp toàn bộ dữ liệu và phân tích về các cuộc tấn công mạng mà Kaspersky đã thu thập trong hơn 20 năm qua.
- Nâng cao kỹ năng cho đội ngũ an ninh mạng, giúp họ sẵn sàng đối phó với các mối đe dọa mới bằng chương trình đào tạo trực tuyến của Kaspersky do chính các chuyên gia GReAT xây dựng.
- Kết hợp thêm giải pháp bảo mật ở cấp độ mạng doanh nghiệp, chẳng hạn như Kaspersky Anti Targeted Attack Platform, giúp phát hiện sớm những cuộc tấn công phức tạp đang âm thầm diễn ra trong hệ thống.
