Kasperskyのグローバル調査分析グループ(GReAT)の専門家によると、このマルウェアはオープンソースツールに構築されています。これは以前に発見されたことのない洗練されたマルウェアです。
GReATグループは、Microsoft Exchange(企業や教育機関によく使用される電子メールサービス)を使用する政府システムでの障害対応プロセス中に、このマルウェアを発見しました。
GhostContainerは、大規模なテクノロジー企業を含むアジア地域の重要な組織を標的とした、洗練された長期的なサイバー攻撃(APT)作戦の一部であると考えられています。
これは多機能マルウェアの一種であり、リモートで他のモジュールを追加することで拡張およびカスタマイズできます。このマルウェアは多くのオープンソースプロジェクトを活用しており、検出を避けるために巧妙にカスタマイズされています。
GhostContainerをシステムにインストールに成功すると、ハッカーはExchangeサーバーを完全に制御でき、ユーザーが気づいていない一連の危険な行為を実行できます。
このマルウェアは、サーバーの有効なコンポーネントの下で巧妙に偽装されており、ウイルス対策ソフトウェアによって検出されないように、およびセキュリティ監視システムを欺くために、多くの監視回避技術を使用しています。
さらに、このマルウェアは、中間サーバーまたは暗号化トンネルとして機能し、ハッカーが内部システムに侵入したり、重要な情報を盗んだりするための抜け穴を作成する可能性があります。
Kasperskyのアジア太平洋地域および中東・アフリカ地域のGReATグループの責任者であるセルゲイ・ロジキン氏は、「私たちの専門的な分析は、背後にいる犯人がMicrosoft Exchangeサーバーシステムへの侵入に非常に熟練していることを示しています。私たちは、このグループの活動、および攻撃の範囲と危険度を引き続き監視し、脅威の全体像をよりよく理解していきます」と述べています。
特定または未特定のサイバー犯罪グループからの意図的な攻撃の被害者になるのを避けるために、Kasperskyサイバーセキュリティの専門家は、企業が次の対策を講じる必要があると勧告しています。
- セキュリティ運用チーム(SOC)に最新の脅威に関する情報源へのアクセス権を装備します。
- サイバーセキュリティチームのスキルを向上させ、業界をリードする専門家が設計したオンライントレーニングプログラムを通じて、新しい脅威に対処する準備を支援します。
- エンドデバイスからインシデントを検出および処理するためのソリューションを適用します。たとえば、EDRは攻撃の兆候を検出し、調査し、タイムリーに対応するのに役立ちます。
- 企業ネットワークレベルでのセキュリティソリューションを組み合わせることで、システム内で静かに発生している複雑な攻撃を早期に検出するのに役立ちます。
- 多くの意図的な攻撃は、詐欺メールや心理的な欺瞞の形で始まることが多いため、従業員のセキュリティ意識を高めるためのトレーニングコースを組織する必要があります。
