Theo Nhóm Nghiên cứu và Phân tích toàn cầu (GReAT), mã độc GhostContainer được cài cắm trong hệ thống có sử dụng Microsoft Exchange, là một phần của chiến dịch tấn công mạng kéo dài có chủ đích (APT), nhắm vào các tổ chức quan trọng tại khu vực châu Á, bao gồm cả những công ty công nghệ lớn.
GhostContainer ẩn trong một tệp tin có tên App_Web_Container_1.dll, thực chất là một backdoor đa năng. Nó có khả năng mở rộng chức năng bằng cách tải thêm các mô-đun từ xa và được thiết kế dựa trên nhiều công cụ mã nguồn mở. Mã độc này ngụy trang như một thành phần hợp lệ của hệ thống máy chủ, sử dụng kỹ thuật né tránh tinh vi để vượt qua phần mềm bảo mật và hệ thống giám sát.
Khi đã thâm nhập vào hệ thống, GhostContainer cho phép kẻ tấn công chiếm quyền kiểm soát máy chủ Exchange. Nó có thể hoạt động như một proxy hoặc đường hầm mã hóa, tạo điều kiện cho việc xâm nhập sâu hơn vào mạng nội bộ hoặc đánh cắp dữ liệu nhạy cảm mà không bị phát hiện. Những hành vi này khiến các chuyên gia nghi ngờ rằng chiến dịch đang phục vụ mục đích gián điệp mạng.
Ông Sergey Lozhkin – Trưởng nhóm GReAT khu vực Châu Á - Thái Bình Dương và Trung Đông - Châu Phi của Kaspersky – nhận định rằng nhóm đứng sau GhostContainer rất am hiểu môi trường máy chủ Exchange và IIS. Chúng sử dụng mã nguồn mở để phát triển công cụ tấn công tinh vi, đồng thời tránh để lộ dấu vết rõ ràng, khiến việc truy nguyên nguồn gốc trở nên rất khó khăn.
Hiện chưa thể xác định cụ thể nhóm nào đứng sau chiến dịch này, do mã độc sử dụng các đoạn mã từ nhiều dự án mã nguồn mở – điều này đồng nghĩa với khả năng bị lợi dụng rộng rãi bởi nhiều nhóm tội phạm mạng khác nhau trên toàn cầu. Đáng chú ý, theo thống kê, đến cuối năm 2024 đã có khoảng 14.000 gói mã độc bị phát hiện trong các dự án mã nguồn mở, tăng 48% so với cuối năm 2023 – cho thấy rủi ro bảo mật từ mã mở đang ngày càng trở nên nghiêm trọng.
Theo Kaspersky, để giảm nguy cơ trở thành nạn nhân của các cuộc tấn công mạng có chủ đích, doanh nghiệp nên trang bị cho đội ngũ vận hành an ninh quyền truy cập vào các nguồn thông tin về mối đe dọa cập nhật.
Việc nâng cao kỹ năng chuyên môn cho bộ phận an ninh mạng là cần thiết nhằm tăng khả năng phát hiện và ứng phó với các hình thức tấn công tinh vi. Doanh nghiệp cũng nên triển khai các giải pháp phát hiện và xử lý sự cố ngay từ thiết bị đầu cuối, kết hợp với công cụ giám sát và bảo vệ ở cấp độ mạng.
Ngoài ra, vì nhiều cuộc tấn công bắt đầu từ email lừa đảo hoặc các hình thức đánh lừa tâm lý, tổ chức cần thường xuyên đào tạo nâng cao nhận thức an ninh cho nhân viên. Việc đầu tư đồng bộ vào công nghệ, con người và quy trình là chìa khóa giúp doanh nghiệp tăng cường khả năng phòng thủ trước các mối đe dọa ngày càng phức tạp.
và quét mã QR
Bình luận (0)