最近兩到三年,不少駭客組織鎖定Exchange以外的郵件伺服器從事攻擊行動,像是被稱為APT28、Fancy Bear、Forest Blizzard、Strontium的俄羅斯駭客組織,於2023年至2024年期間,接連鎖定Roundcube、Zimbra、Horde、MDaemon等郵件伺服器平臺下手。但近期這樣的態勢出現變化,有許多駭客又將目光轉回Exchange。
例如,資安業者Positive Technologies揭露橫跨全球26個國家、鎖定65個企業組織而來的攻擊行動,駭客在Exchange伺服器植入鍵盤內容側錄工具(Keylogger);伊朗駭客組織BladedFeline持續滲透中東政府機關、能源單位、電信業者,針對Exchange伺服器散布後門程式Whisper、PrimeCache;最近卡巴斯基揭露的後門程式GhostContainer,也是專門針對此種郵件伺服器而來,已有亞洲政府機關及高科技公司受害。
這些駭客疑似先透過已知漏洞滲透郵件伺服器,接著在此部署後門並啟動,從而得到完整的控制權。此後門程式以多個開源專門為基礎打造,並可安裝附加元件擴充功能,該惡意程式不僅將自己偽裝成常見的伺服器元件,以便融入Exchange伺服器的正常作業流程,並具備多種迴避偵測機制,還能充當代理伺服器或是建立隧道。
GhostContainer的檔名是App_Web_Container_1.dll,以.NET打造而成,一旦Exchange的服務啟動,此後門程式就會啟動C2命令解析器,而能在郵件伺服器執行Shell Code與命令、下載檔案,或是載入額外的.NET位元組碼(Bytecode)。該後門程式還有另外兩項模組,用途分別是載入代理伺服器,以及虛擬網頁注入工具。
為了避免被偵測,此後門程式會試圖繞過反惡意程式碼掃描介面(AMSI)與事件記錄機制,再者,駭客從ASP.NET組態取出Machine Key,並以此金鑰進行AES加密通訊,另一方面,他們也透過Exchange的請求隱藏命令,並以Base64及AES加密處理、傳輸。
一般來說,駭客通常會利用C2隱匿行蹤,但使用GhostContainer的人士並非如此,他們會直接存取受害伺服器,並將下達的命令埋入Exchange的網頁請求,使得卡巴斯基難以識別攻擊者的來源IP位址或是網域。
熱門新聞
2025-12-05
2025-12-05
2025-12-05
2025-12-05
2025-12-05
2025-12-05
2025-12-05