卡巴斯基全球研究與分析團隊(GReAT)發現了一個基於開源工具的新型後門程式,命名為 GhostContainer。這個先前未知且高度客製化的惡意程式是在一次事件回應(Incident Response, IR)中被發現的,目標是政府環境中的 Exchange 基礎架構。該惡意程式可能是針對亞洲高價值目標(包括高科技公司)所發動的高階持續性威脅(APT)活動的一部分。
卡巴斯基偵測到的檔案名為 App_Web_Container_1.dll,實際上是一個功能強大且多功能的後門程式,利用了多個開源專案,並可透過下載額外模組動態擴充任意功能。
一旦載入,它就能讓攻擊者完全控制 Exchange 伺服器,進行各種惡意操作。為了避免被資安防護系統偵測,它採用了多種規避技術,並偽裝成合法的伺服器元件,以融入正常運作流程。此外,它還能充當代理或隧道,可能會將內部網路暴露給外部威脅,或協助從內部系統竊取敏感資料。因此,這次攻擊活動被懷疑是網路間諜行動。
卡巴斯基亞太區與中東非洲區 GReAT 負責人 Sergey Lozhkin 表示:
「我們的深入分析顯示,攻擊者非常擅長利用 Exchange 系統,並能熟練運用多個與滲透 IIS 和 Exchange 環境相關的開源專案。他們也能基於公開程式碼打造並強化複雜的間諜工具。我們將持續監控他們的活動,以及這些攻擊的範圍與規模,以更深入了解整體威脅情勢。」
目前尚無法將 GhostContainer 歸屬於任何已知的威脅行為者團體,因為攻擊者並未暴露任何基礎架構。該惡意程式包含了多個公開可存取的開源專案程式碼,可能被全球的駭客或 APT 團體利用。值得注意的是,截至 2024 年底,開源專案中已識別出 14,000 個惡意套件,比 2023 年底增加了 48%,突顯了此領域日益嚴峻的威脅。
完整報告請參閱 Securelist.com。
關於卡巴斯基
卡巴斯基是一家成立於1997年的全球網路安全和數位隱私公司。迄今為止,卡巴斯基已保護超過十億台設備免受新興網路威脅和針對性攻擊。卡巴斯基不斷將深度威脅情報和安全技術轉化成創新的安全解決方案和服務,為全球的企業、關鍵基礎設施、政府和消費者提供安全保護。公司提供全面的安全產品組合,包括領先的端點保護解決方案以及多種針對性的安全解決方案和服務,以及用於應對複雜和不斷變化的數位威脅的網路免疫解決方案。我們幫助超過全球200,000家企業客戶保護對他們來說最重要的事物。
熱門新聞
2025-11-12
2025-11-10
2025-11-10
2025-11-12
2025-11-10
2025-11-07