GhostContainer açığa çıktı: Kaspersky, Microsoft Exchange sunucularını maksat alan yeni bir art kapı tespit etti

Kaspersky Küresel Araştırma ve Tahlil Grubu (GReAT), GhostContainer olarak isimlendirilen açık kaynaklı araçlara dayalı yeni bir art kapı ortaya çıkardı. Daha evvel bilinmeyen ve son derece özelleştirilmiş bu makûs hedefli yazılım, kamu ortamlarındaki Exchange altyapısını maksat alan bir olay müdahale (IR) olayı sırasında keşfedildi. Yazılımın, yüksek teknoloji şirketleri de dahil olmak üzere Asya’daki yüksek bedelli kuruluşları gaye alan gelişmiş kalıcı tehdit (APT) kampanyasının bir kesimi olabileceği düşünülüyor.

Kaspersky tarafından App_Web_Container_1.dll olarak tespit edilen evrakın, çeşitli açık kaynak projelerinden yararlanan ve ek modül indirmeleri yoluyla rastgele işlevlerle dinamik olarak genişletilebilen karmaşık, çok fonksiyonlu bir art kapı olduğu ortaya çıktı.

Arka kapı, yüklendikten sonra saldırganlara Exchange sunucusu üzerinde tam denetim sağlayarak çok çeşitli berbat niyetli faaliyetlere imkan tanıyor. Güvenlik tahlillerinin tespitinden kaçınmak için çeşitli kaçırma teknikleri kullanıyor ve olağan süreçlere karışmak için kendisini yasal bir sunucu bileşeni formunda gösteriyor. Buna ek olarak, bir proxy ya da tünel vazifesi görerek potansiyel olarak dahili ağı dış tehditlere maruz bırakabiliyor ya da hassas bilgilerin iç sistemlerden dışarı sızmasını kolaylaştırabiliyor. Bu nedenle, kampanyanın emelinin siber casusluk olduğundan şüpheleniliyor.

GReAT APAC & META Başkanı Sergey Lozhkin, şunları söylüyor: “Derinlemesine tahlilimiz, saldırganların Exchange sistemlerini istismar etme ve IIS ve Exchange ortamlarına sızma ile ilgili çeşitli açık kaynaklı projelerden yararlanmanın yanı sıra halka açık koda dayalı sofistike casusluk araçları oluşturma ve geliştirme konusunda epeyce yetenekli olduklarını ortaya koydu. Tehdit ortamını daha yeterli anlamak için bu taarruzların kapsamı ve ölçeği ile birlikte faaliyetlerini izlemeye devam edeceğiz.”

Saldırganlar rastgele bir altyapıyı ifşa etmedikleri için şu anda GhostContainer’ı bilinen rastgele bir tehdit aktörü kümesiyle ilişkilendirmek mümkün değil. Berbat gayeli yazılım, dünya genelindeki bilgisayar korsanları yahut APT kümeleri tarafından kullanılabilecek, halka açık birkaç açık kaynak projesinden gelen kodları içeriyor. Bilhassa 2024 yılı sonu itibariyle, açık kaynak projelerinde toplam 14 bin berbat hedefli paket tespit edildi. Bu, 2023 yılı sonuna kıyasla %48’lik bir artışa karşılık geliyor ki, durum bu alandaki büyüyen tehdidi vurgular nitelikte.

Raporun tamamını Securelist.com adresinde okuyabilirsiniz.

Kaspersky araştırmacıları, bilinen yahut bilinmeyen tehdit aktörlerinin amaçlı saldırısının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını öneriyor:

• SOC takımınızın en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Threat Intelligence, şirketin TI’sına tek bir erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber atak datalarını ve içgörüleri sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik grubunuzu en yeni gayeli tehditlerle çaba edecek halde geliştirin.
• Uç nokta seviyesinde tespit, araştırma ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini uygulayın.
• Temel uç nokta müdafaasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ seviyesinde erken bir evrede tespit eden kurumsal seviyede bir güvenlik tahlili uygulayın.
• Birçok gayeli akın kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform aracılığıyla grubunuza güvenlik farkındalığı eğitimi verin ve pratik marifetler öğretin.

Kaynak: (BYZHA) Beyaz Haber Ajansı