Вредоносное ПО обнаружили эксперты Kaspersky GReAT
Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружили новый бэкдор GhostContainer (ПО для скрытого дистанционного управления заражённым устройством), который работает на основе инструментов с открытым исходным кодом. Появление этого вредоноса может быть частью сложной таргетированной кампании, направленной на крупные организации в Азии, в том числе высокотехнологичные предприятия. Предположительно, цель злоумышленников — кибершпионаж.
Специалисты «Лаборатории Касперского» обнаружили новый вредонос в ходе реагирования на один из инцидентов, связанных с атаками на инфраструктуру Exchange в госсекторе. Они обратили внимание на файл App_Web_Container_1.dll. Выяснилось, что это сложный многофункциональный бэкдор, в основе которого лежат несколько проектов с открытым исходным кодом. Вредоносное ПО способно динамически расширяться и получать новую функциональность за счёт загрузки дополнительных модулей.
Установка бэкдора даёт атакующим полный контроль над сервером Exchange, что открывает для них большие возможности для дальнейшей нелегитимной активности. При этом зловред использует разные методы, чтобы избежать обнаружения защитными средствами, и маскируется под компонент сервера, чтобы затеряться среди стандартных операций. Бэкдор может выполнять роль прокси-сервера или туннеля, что подвергает внешним угрозам всю внутреннюю сеть компании, а также создаёт риск утечки конфиденциальных данных.
«Наше исследование показало, что злоумышленники технически хорошо подкованы: они разбираются в уязвимостях систем Exchange и умеют создавать и совершенствовать сложные инструменты для шпионажа на основе общедоступного кода. Хотя первые инциденты зафиксированы в Азии, есть вероятность, что атакующие могут использовать обнаруженный вредонос и в других регионах. Хотя на данный момент недостаточно информации, чтобы отнести GhostContainer к какой-либо известной группе, мы продолжим наблюдать за активностью бэкдора, чтобы лучше понимать ландшафт киберугроз», — комментирует Сергей Ложкин, руководитель GReAT в регионах APAC и МЕТА.
На конец 2024 года по всему миру эксперты «Лаборатории Касперского» обнаружили в проектах с открытым исходным кодом 14 тысяч вредоносных пакетов, что на 48% больше по сравнению с концом 2023 года.
Чтобы укрепить защиту от сложных целевых кибератак, «Лаборатория Касперского» рекомендует:
- предоставлять SOC-командам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников (TI). Сервисы Kaspersky Threat Intelligence — единая точка доступа ко всем данным о киберугрозах, накопленных экспертами «Лаборатории Касперского» более чем за 20 лет;
- регулярно повышать навыки ИБ-специалистов в борьбе со сложными целевыми атаками, например с помощью профессиональных тренингов от экспертов Kaspersky GReAT;
- использовать надёжное решение класса EDR для защиты конечных устройств, которое позволяет своевременно обнаруживать и реагировать на инциденты, такое как Kaspersky Endpoint Detection and Response;
- внедрить корпоративное решение, способное обнаруживать сложные угрозы на уровне сети на ранней стадии, например Kaspersky Anti Targeted Attack;
- регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием фишинга и других методов социальной инженерии, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 30 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
