Gửi bình luận
Một loại mã độc backdoor mới tinh vi đe doạ tấn công những tổ chức quan trọng tại khu vực châu Á, bao gồm các công ty công nghệ lớn.
Loại mã độc backdoor mới này có tên GhostContaine vừa được nhóm nghiên cứu và phân tích toàn cầu (GReAT) của Kaspersky phát hiện. GhostContainer được xây dựng dựa trên các công cụ mã nguồn mở, là loại mã độc tinh vi, chưa từng được phát hiện trước đó.
Tệp tin độc hại được Kaspersky phát hiện có tên gọi “App_Web_Container_1.dll” thực chất là một backdoor - phần mềm có thể xâm nhập vào hệ thống máy tính hoặc phần mềm mà không cần qua các lớp bảo mật và vượt qua sự cho phép của người dùng. Ở lần tấn công này, mã độc này rất tinh vi, đa chức năng, có khả năng mở rộng tuỳ biến bằng cách tải thêm các modun khác từ xa để tránh bị phát hiện.
Khi đã cài thành công GhostContainer vào hệ thống, tin tặc dễ dàng kiểm soát hoàn toàn máy chủ Exchange, từ đó có thể thực hiện hàng loạt hành vi nguy hiểm mà người dùng không hề hay biết. Mã độc này được ngụy trang dưới vỏ bọc một thành phần hợp lệ của máy chủ và sử dụng nhiều kỹ thuật né tránh giám sát, phát hiện bởi các phần mềm diệt virus và qua mặt hệ thống giám sát an ninh. Ngoài ra, mã độc này có thể hoạt động như một máy chủ trung gian (proxy) hoặc đường hầm mã hóa (tunnel), tạo kẽ hở để tin tặc xâm nhập vào hệ thống nội bộ hoặc đánh cắp thông tin nhạy cảm.
Ông Sergey Lozhkin - Trưởng nhóm GReAT khu vực châu Á - Thái Bình Dương và Trung Đông - châu Phi của Kaspersky nhận định: Phân tích chuyên sâu của chúng tôi cho thấy thủ phạm đứng sau rất thành thạo trong việc xâm nhập vào hệ thống máy chủ Microsoft Exchange. Họ tận dụng nhiều công cụ mã nguồn mở để xâm nhập vào môi trường của IIS và Exchange, đồng thời phát triển các công cụ gián điệp tinh vi dựa trên mã nguồn mở có sẵn.
Hiện nhóm nghiên cứu đang tiếp tục theo dõi hoạt động của nhóm này cũng như phạm vi và mức độ nguy hiểm của các cuộc tấn công, nhằm hiểu rõ hơn về bức tranh tổng thể của mối đe dọa. GhostContainer sử dụng mã từ nhiều dự án mã nguồn mở nên hoàn toàn có thể bị lợi dụng bởi các nhóm tội phạm mạng hoặc các chiến dịch tấn công mạng tinh vi, kéo dài ở bất kỳ đâu trên thế giới.
Đáng chú ý, tính đến cuối năm 2024, có tổng cộng 14.000 gói mã độc được phát hiện trong các dự án mã nguồn mở, tăng 48% so với cuối năm 2023. Con số này cho thấy mức độ rủi ro đang ngày càng tăng lên trong lĩnh vực.
Để tránh trở thành nạn nhân của các cuộc tấn công có chủ đích đến từ nhóm tội phạm mạng đã biết hay chưa được phát hiện, các chuyên gia của Kaspersky khuyến nghị doanh nghiệp nên trang bị cho đội ngũ vận hành an ninh (SOC) quyền truy cập vào các nguồn thông tin về mối đe dọa mới nhất.
Đồng thời, nâng cao kỹ năng cho đội ngũ an ninh mạng thông qua các chương trình đào tạo, tập huấn… để đội ngũ này sẵn sàng đối phó với các mối đe dọa mới; áp dụng các giải pháp phát hiện và xử lý sự cố ngay từ thiết bị đầu cuối để phản ứng kịp thời với các dấu hiệu tấn công.
Để chủ động phòng ngừa sớm, có thể kết hợp thêm giải pháp bảo mật ở cấp độ mạng doanh nghiệp giúp phát hiện những cuộc tấn công phức tạp đang âm thầm diễn ra trong hệ thống. Vì nhiều cuộc tấn công có chủ đích thường bắt đầu bằng email lừa đảo hoặc các hình thức đánh lừa tâm lý nên cần tổ chức các khóa đào tạo nâng cao nhận thức an ninh mạng cho nhân viên.
