Mã độc GhostContainer lây lan trên Microsoft Exchange: Là gián điệp mạng?
Các chuyên gia nghi ngờ mục đích chính của chiến dịch này rất có thể là do thám, gián điệp mạng (cyber espionage).
Vừa qua, hãng bảo mật Kaspersky đã phát hiện mã độc GhostContainer được xây dựng dựa trên các công cụ mã nguồn mở. Họ phát hiện ra mã độc này trong quá trình ứng phó sự cố tại các hệ thống chính phủ có sử dụng Microsoft Exchange. GhostContainer được cho là một phần của chiến dịch tấn công mạng tinh vi và kéo dài (APT), nhắm vào những tổ chức quan trọng tại khu vực châu Á, bao gồm cả các công ty công nghệ lớn.
GhostContainer là một loại mã độc tinh vi, chưa từng được phát hiện trước đó. (Ảnh minh họa)
Tệp tin độc hại được Kaspersky phát hiện có tên gọi App_Web_Container_1.dll thực chất là một backdoor đa chức năng, có khả năng mở rộng tuỳ biến bằng cách tải thêm các mô-đun khác từ xa. Mã độc tận dụng nhiều dự án mã nguồn mở và được tùy biến tinh vi để tránh bị phát hiện.
Một khi cài thành công GhostContainer vào hệ thống, tin tặc dễ dàng kiểm soát hoàn toàn máy chủ Exchange, từ đó có thể thực hiện hàng loạt hành vi nguy hiểm mà người dùng không hề hay biết. Mã độc này được ngụy trang tinh vi dưới vỏ bọc một thành phần hợp lệ của máy chủ và sử dụng nhiều kỹ thuật né tránh giám sát để tránh bị phát hiện bởi các phần mềm diệt virus và qua mặt hệ thống giám sát an ninh.
Ngoài ra, mã độc có thể hoạt động như một máy chủ trung gian (proxy) hoặc đường hầm mã hóa (tunnel), tạo kẽ hở để tin tặc xâm nhập vào hệ thống nội bộ hoặc đánh cắp thông tin nhạy cảm. Nhìn vào cách thức hoạt động này, các chuyên gia nghi ngờ mục đích chính của chiến dịch này rất có thể là do thám, gián điệp mạng (cyber espionage).
Để tránh trở thành nạn nhân của các cuộc tấn công có chủ đích đến từ nhóm tội phạm mạng đã biết hay chưa được phát hiện, các chuyên gia của Kaspersky khuyến nghị doanh nghiệp nên áp dụng một số biện pháp sau:
Bình luận
