Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), "GhostContainer" olarak adlandırılan yeni bir arka kapı türünü duyurdu. Bu arka kapı, açık kaynaklı araçlara dayanarak tasarlanmış olup, daha önce bilinmeyen ve son derece özelleştirilmiş bir kötü amaçlı yazılımdır. GhostContainer, kamu ortamlarındaki Exchange altyapısını hedef alan bir olay müdahale (IR) vakası sırasında keşfedilmiştir.
Yapılan analizlere göre, Kaspersky'nin "App_Web_Container_1.dll" olarak tespit ettiği dosya, çeşitli açık kaynak projelerinden faydalanmakta ve ek modül indirmeleri yoluyla dinamik olarak genişletilebilen karmaşık bir arka kapı olarak görülmektedir. Bu arka kapı, yüklendiği anda saldırganlara Exchange sunucusu üzerinde tam kontrol sağlamaktadır. Ayrıca, çeşitli kötü niyetli faaliyetlere olanak tanımaktadır.
GhostContainer, güvenlik çözümlerinin tespitinden kaçınmak için farklı kaçırma teknikleri kullanmakta ve meşru bir sunucu bileşeni olarak kendisini göstermektedir. Bunun yanı sıra, bir proxy veya tünel işlevi görerek potansiyel olarak dahili ağı dış tehditlere maruz bırakabilmektedir. Bu durum, hassas verilerin iç sistemlerden dışarı sızmasını da kolaylaştırmaktadır. Bu nedenle, kampanyanın amacının siber casusluk olduğuna dair güçlü kanaatler bulunmaktadır.
Kaspersky GReAT APAC & META Başkanı Sergey Lozhkin, "Derinlemesine analizimiz, saldırganların Exchange sistemlerini istismar etme ve IIS ile Exchange ortamlarına sızma konusunda oldukça yetenekli olduklarını ortaya koydu" demektedir. Lozhkin, aynı zamanda "Tehdit ortamını daha iyi anlamak için bu saldırıların kapsamı ve ölçeği ile birlikte faaliyetlerini izlemeye devam edeceğiz" ifadesini kullanmıştır.
GhostContainer şu an için bilinen herhangi bir tehdit aktör grubu ile ilişkilendirilmiş değildir. Kötü amaçlı yazılım, dünya genelindeki bilgisayar korsanları veya APT grupları tarafından kullanılabilecek şekilde, açık kaynak projelerinden alınan kodlar içermektedir. Özellikle 2024 yılı sonu itibarıyla, açık kaynak projelerinde toplamda 14 bin kötü amaçlı paket tespit edilmiştir. Bu sayının, 2023 yılı sonuna kıyasla %48'lik bir artış gösterdiği belirlenmiştir ve bu durum, açık kaynak alanındaki büyüyen tehdidi işaret etmektedir.
Kaspersky’nin araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırısına maruz kalmamak için bazı önlemlerin alınmasını önermektedir. Bu önlemler arasında, SOC ekibinin en son tehdit istihbaratına erişiminin sağlanması ve Kaspersky Threat Intelligence hizmetinin kullanılması yer almaktadır. Ayrıca, GReAT uzmanları tarafından geliştirilen çevrimiçi eğitim programlarıyla siber güvenlik ekibinin en yeni hedefli tehditlerle mücadele edebilmesi amaçlanmaktadır.
Uç nokta düzeyinde tespit ve araştırma için, Kaspersky Endpoint Detection and Response (EDR) gibi çözümlerin uygulanması önerilmektedir. Temel uç nokta korumasının yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken bir aşamada tespit eden kurumsal düzeyde güvenlik çözümleri de kullanılmalıdır. Ayrıca, birçok hedefli saldırının kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığı göz önüne alındığında, Kaspersky Automated Security Awareness Platform aracı ile ekiplerin güvenlik farkındalığı eğitimleri alması ve pratik beceriler edinmesi önerilmektedir.
Görünüşe göre, bu geliştirmeler ve önlemlerle birlikte, Kaspersky uzmanları, hem kurumsal altyapıların güvenliğini artırmayı hem de siber casusluğun artan tehditlerine karşı koymayı hedeflemektedir.
