GhostContainer açığa çıktı: Kaspersky, Microsoft Exchange sunucularını hedef alan yeni bir arka kapı tespit etti
Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), GhostContainer olarak adlandırılan açık kaynaklı araçlara dayalı yeni bir arka kapı ortaya çıkardı. Daha önce bilinmeyen ve son derece özelleştirilmiş bu kötü amaçlı yazılım, kamu ortamlarındaki Exchange altyapısını hedef alan bir olay müdahale (IR) vakası sırasında keşfedildi. Yazılımın, yüksek teknoloji şirketleri de dahil olmak üzere Asya’daki yüksek değerli kuruluşları hedef alan gelişmiş kalıcı tehdit (APT) kampanyasının bir parçası olabileceği düşünülüyor.
Kaspersky tarafından App_Web_Container_1.dll olarak tespit edilen dosyanın, çeşitli açık kaynak projelerinden yararlanan ve ek modül indirmeleri yoluyla rastgele fonksiyonlarla dinamik olarak genişletilebilen karmaşık, çok işlevli bir arka kapı olduğu ortaya çıktı.
Arka kapı, yüklendikten sonra saldırganlara Exchange sunucusu üzerinde tam kontrol sağlayarak çok çeşitli kötü niyetli faaliyetlere olanak tanıyor. Güvenlik çözümlerinin tespitinden kaçınmak için çeşitli kaçırma teknikleri kullanıyor ve normal işlemlere karışmak için kendisini meşru bir sunucu bileşeni şeklinde gösteriyor. Buna ek olarak, bir proxy ya da tünel görevi görerek potansiyel olarak dahili ağı dış tehditlere maruz bırakabiliyor ya da hassas verilerin iç sistemlerden dışarı sızmasını kolaylaştırabiliyor. Bu nedenle, kampanyanın amacının siber casusluk olduğundan şüpheleniliyor.
GReAT APAC & META Başkanı Sergey Lozhkin, şunları söylüyor: “Derinlemesine analizimiz, saldırganların Exchange sistemlerini istismar etme ve IIS ve Exchange ortamlarına sızma ile ilgili çeşitli açık kaynaklı projelerden yararlanmanın yanı sıra halka açık koda dayalı sofistike casusluk araçları oluşturma ve geliştirme konusunda oldukça yetenekli olduklarını ortaya koydu. Tehdit ortamını daha iyi anlamak için bu saldırıların kapsamı ve ölçeği ile birlikte faaliyetlerini izlemeye devam edeceğiz.”
Saldırganlar herhangi bir altyapıyı ifşa etmedikleri için şu anda GhostContainer’ı bilinen herhangi bir tehdit aktörü grubuyla ilişkilendirmek mümkün değil. Kötü amaçlı yazılım, dünya genelindeki bilgisayar korsanları veya APT grupları tarafından kullanılabilecek, halka açık birkaç açık kaynak projesinden gelen kodları içeriyor. Özellikle 2024 yılı sonu itibariyle, açık kaynak projelerinde toplam 14 bin kötü amaçlı paket tespit edildi. Bu, 2023 yılı sonuna kıyasla %48’lik bir artışa karşılık geliyor ki, durum bu alandaki büyüyen tehdidi vurgular nitelikte.
Raporun tamamını Securelist.com adresinde okuyabilirsiniz.
Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırısının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:
SOC ekibinizin en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Threat Intelligence, şirketin TI’sına tek bir erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörüleri sağlar.
GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en yeni hedefli tehditlerle mücadele edecek şekilde geliştirin.
Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayın.
Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken bir aşamada tespit eden kurumsal düzeyde bir güvenlik çözümü uygulayın.
Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform aracılığıyla ekibinize güvenlik farkındalığı eğitimi verin ve pratik beceriler öğretin.
