Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), yeni bir arka kapı olan GhostContainer'ı tespit etti. Bu arka kapı, önceki bilgilere dayanarak, açık kaynaklı araçlarla geliştirilmiş ve son derece özelleştirilmiş bir kötü amaçlı yazılım olarak belirlenmiştir. GhostContainer, özellikle kamu sektöründeki Exchange altyapısını hedef alan bir olay müdahale (IR) sürecinde keşfedilmiştir. Yazılımın Asya'daki yüksek teknoloji şirketleri gibi değerli kuruluşları hedef alan gelişmiş kalıcı tehdit (APT) kampanyalarının bir parçası olabileceği düşünülmektedir.
Kaspersky, GhostContainer dosyasını App_Web_Container_1.dll olarak tanımladı. Bu karmaşık ve çok işlevli arka kapı, farklı açık kaynak projelerinden yararlanarak modül indirmeleri ile dinamik olarak genişleyebilme kapasitesine sahiptir. Saldırganlar, bu arka kapı ile Exchange sunucusu üzerinde tam kontrol elde edebilmekte ve çeşitli kötü niyetli faaliyetleri gerçekleştirebilmektedir.
GhostContainer, güvenlik çözümlerinin tespitinden kaçınmak için çeşitli kaçırma teknikleri kullanarak kendini meşru bir sunucu bileşeni olarak gösterir. Ayrıca, bir proxy veya tünel işlevi görerek iç ağlarda potansiyel tehditlere açık hale gelebilir ve hassas verilerin iç sistemlerden sızmasını kolaylaştırabilir. Bu nedenle, kampanyanın siber casusluk amacı güttüğü düşünülmektedir.
GReAT APAC & META Başkanı Sergey Lozhkin, "Derinlemesine analizimiz, saldırganların Exchange sistemlerini istismar etme ve IIS ile Exchange ortamlarına sızma girişimlerinde çeşitli açık kaynak projelerinden yararlandıklarını ortaya koydu. Böylece, açık kaynak kodla geliştirilen sofistike casusluk araçları oluşturma konusunda yetenekli oldukları anlaşıldı. Tehdit ortamını daha iyi anlayabilmek için bu saldırıların kapsamı ve ölçeği ile birlikte faaliyetlerini izlemeye devam edeceğiz," demiştir.
Saldırganlar, şu anda GhostContainer'ı bilinen herhangi bir tehdit aktör grubuyla ilişkilendirmek mümkün değil. Kötü amaçlı yazılım, dünya genelindeki bilgisayar korsanları veya APT grupları tarafından kullanılabilecek, birkaç açık kaynak projesinden alınmış kodları içermektedir. Özel bir durum olarak, 2024 yılının sonuna kadar açık kaynak projelerinde toplam 14 bin kötü amaçlı paket tespit edilmiştir. Bu durum, 2023 yılı sonuna kıyasla %48'lik bir artış gösteriyor ve bu da alanındaki büyüyen tehditleri vurguluyor.
Kaspersky araştırmacıları, hedefli saldırıların kurbanı olmamak için aşağıdaki önlemlerin alınmasını önermektedir:
- SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Threat Intelligence, şirketin TI'sına tek bir erişim noktası sunmakta ve 20 yılı aşkın süredir toplanan siber saldırı verileri ile içgörüler sağlamaktadır.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en yeni hedefli tehditlere karşı eğitin.
- Kaspersky Endpoint Detection and Response (EDR) gibi uç nokta düzeyinde tespit ve olayların zamanında düzeltilmesi için çözümler uygulayın.
- Gelişmiş tehditleri ağ düzeyinde erken bir aşamada tespit eden Kaspersky Anti Targeted Attack Platform gibi kurumsal düzeyde bir güvenlik çözümü benimseyin.
- Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleri ile başladığından, Kaspersky Automated Security Awareness Platform aracıyla ekibinize güvenlik farkındalığı eğitimi verin ve pratik beceriler kazandırın.
Bu önlemler, kurumsal güvenliği artırmaya ve potansiyel tehditlere karşı önleyici bir strateji geliştirmeye yardımcı olabilir.
