GhostContainer açığa çıktı: Kaspersky, Microsoft Exchange sunucularını hedef alan yeni bir arka kapı tespit etti

Kaspersky Küresel Araştırma ve Tahlil Takımı (GReAT), GhostContainer olarak isimlendirilen açık kaynaklı araçlara dayalı yeni bir art kapı ortaya çıkardı. Daha evvel bilinmeyen ve son derece özelleştirilmiş bu makûs gayeli yazılım, kamu ortamlarındaki Exchange altyapısını gaye alan bir olay müdahale (IR) olayı sırasında keşfedildi. Yazılımın, yüksek teknoloji şirketleri de dahil olmak üzere Asya’daki yüksek bedelli kuruluşları gaye alan gelişmiş kalıcı tehdit (APT) kampanyasının bir modülü olabileceği düşünülüyor.

Kaspersky tarafından App_Web_Container_1.dll olarak tespit edilen belgenin, çeşitli açık kaynak projelerinden yararlanan ve ek modül indirmeleri yoluyla rastgele işlevlerle dinamik olarak genişletilebilen karmaşık, çok fonksiyonlu bir art kapı olduğu ortaya çıktı.

Arka kapı, yüklendikten sonra saldırganlara Exchange sunucusu üzerinde tam denetim sağlayarak çok çeşitli berbat niyetli faaliyetlere imkan tanıyor. Güvenlik tahlillerinin tespitinden kaçınmak için çeşitli kaçırma teknikleri kullanıyor ve olağan süreçlere karışmak için kendisini yasal bir sunucu bileşeni halinde gösteriyor. Buna ek olarak, bir proxy ya da tünel misyonu görerek potansiyel olarak dahili ağı dış tehditlere maruz bırakabiliyor ya da hassas dataların iç sistemlerden dışarı sızmasını kolaylaştırabiliyor. Bu nedenle, kampanyanın maksadının siber casusluk olduğundan şüpheleniliyor.

GReAT APAC & META Başkanı Sergey Lozhkin, şunları söylüyor: “Derinlemesine tahlilimiz, saldırganların Exchange sistemlerini istismar etme ve IIS ve Exchange ortamlarına sızma ile ilgili çeşitli açık kaynaklı projelerden yararlanmanın yanı sıra halka açık koda dayalı sofistike casusluk araçları oluşturma ve geliştirme konusunda hayli yetenekli olduklarını ortaya koydu. Tehdit ortamını daha yeterli anlamak için bu atakların kapsamı ve ölçeği ile birlikte faaliyetlerini izlemeye devam edeceğiz.”

Saldırganlar rastgele bir altyapıyı ifşa etmedikleri için şu anda GhostContainer’ı bilinen rastgele bir tehdit aktörü kümesiyle ilişkilendirmek mümkün değil. Makûs gayeli yazılım, dünya genelindeki bilgisayar korsanları yahut APT kümeleri tarafından kullanılabilecek, halka açık birkaç açık kaynak projesinden gelen kodları içeriyor. Bilhassa 2024 yılı sonu itibariyle, açık kaynak projelerinde toplam 14 bin berbat maksatlı paket tespit edildi. Bu, 2023 yılı sonuna kıyasla %48’lik bir artışa karşılık geliyor ki, durum bu alandaki büyüyen tehdidi vurgular nitelikte.

Raporun tamamını Securelist.com adresinde okuyabilirsiniz.

Kaspersky araştırmacıları, bilinen yahut bilinmeyen tehdit aktörlerinin amaçlı saldırısının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını öneriyor:

• SOC takımınızın en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Threat Intelligence, şirketin TI’sına tek bir erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber taarruz bilgilerini ve içgörüleri sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik takımınızı en yeni maksatlı tehditlerle çaba edecek formda geliştirin.
• Uç nokta seviyesinde tespit, araştırma ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini uygulayın.
• Temel uç nokta muhafazasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ seviyesinde erken bir evrede tespit eden kurumsal seviyede bir güvenlik tahlili uygulayın.
• Birçok gayeli atak kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform aracılığıyla takımınıza güvenlik farkındalığı eğitimi verin ve pratik marifetler öğretin.

Kaynak: (BYZHA) Beyaz Haber Ajansı