卡巴斯基識別出一個針對Microsoft Exchange伺服器的新型後門程式

卡巴斯基全球研究與分析團隊（GReAT）發現了一個基於開源工具的新型後門程式，命名為GhostContainer。這個先前未知且高度客製化的惡意程式是在一次事件回應（Incident Response；IR）中被發現的，目標是政府環境中的Exchange基礎架構。該惡意程式可能是針對亞洲高價值目標（包括高科技公司）所發動的高階持續性威脅（APT）活動的一部分。

卡巴斯基偵測到的檔案名為App_Web_Container_1.dll，實際上是一個功能強大且多功能的後門程式，利用了多個開源專案，並可透過下載額外模組動態擴充任意功能。

一旦載入，它就能讓攻擊者完全控制Exchange伺服器，進行各種惡意操作。為了避免被資安防護系統偵測，它採用了多種規避技術，並偽裝成合法的伺服器元件，以融入正常運作流程。此外，它還能充當代理或隧道，可能會將內部網路暴露給外部威脅，或協助從內部系統竊取敏感資料。因此，這次攻擊活動被懷疑是網路間諜行動。

卡巴斯基亞太區與中東非洲區GReAT負責人Sergey Lozhkin表示，深入分析顯示，攻擊者非常擅長利用 Exchange系統，並能熟練運用多個與滲透IIS和Exchange環境相關的開源專案。他們也能基於公開程式碼打造並強化複雜的間諜工具。卡巴斯基將持續監控他們的活動，以及這些攻擊的範圍與規模，以更深入了解整體威脅情勢。

目前尚無法將GhostContainer歸屬於任何已知的威脅行為者團體，因為攻擊者並未暴露任何基礎架構。該惡意程式包含了多個公開可存取的開源專案程式碼，可能被全球的駭客或APT團體利用。值得注意的是，截至2024年底，開源專案中已識別出14,000個惡意套件，比2023年底增加48%，凸顯了此領域日益嚴峻的威脅。