GhostContainer, một phần của chiến dịch tấn công mạng tinh vi và kéo dài (APT), chủ yếu nhắm vào các tổ chức quan trọng tại khu vực châu Á, trong đó có các công ty công nghệ lớn. Mã độc này được đóng gói dưới dạng tệp tin "App_Web_Container_1.dll", một backdoor đa chức năng, có khả năng tải thêm các mô-đun từ xa để mở rộng khả năng xâm nhập.

Loại mã độc này đã được nhóm nghiên cứu và phân tích toàn cầu (GReAT) của Kaspersky phát hiện trong quá trình xử lý sự cố tại các hệ thống chính phủ. Các chuyên gia cho biết, sau khi GhostContainer cài đặt thành công vào máy chủ Exchange, tin tặc có thể kiểm soát toàn bộ hệ thống, thực hiện các hành vi tấn công nguy hiểm mà người dùng không hề hay biết.

Mã độc này lợi dụng các kỹ thuật né tránh giám sát để tránh bị phát hiện và có thể hoạt động như một máy chủ proxy hoặc một đường hầm mã hóa, tạo cơ hội để kẻ tấn công xâm nhập vào hệ thống nội bộ và đánh cắp thông tin quan trọng.

Ông Sergey Lozhkin, Trưởng nhóm GReAT khu vực châu Á - Thái Bình Dương và Trung Đông - châu Phi, nhấn mạnh: "Nhóm tấn công rất thành thạo trong việc khai thác các công cụ mã nguồn mở để xâm nhập vào môi trường máy chủ Microsoft Exchange. Điều này cho thấy sự phát triển các công cụ gián điệp tinh vi, mở ra khả năng mở rộng các cuộc tấn công này".

Mặc dù chưa thể xác định nhóm tin tặc nào đứng sau, nhưng khả năng GhostContainer bị lợi dụng bởi các chiến dịch tấn công mạng quốc tế là rất cao, nhất là khi các dự án mã nguồn mở đang bị lợi dụng để phát tán các mã độc. Cả thế giới đang đối mặt với một làn sóng gia tăng các mối đe dọa mạng khi mà các gói mã độc trong các dự án mã nguồn mở đã tăng 48% trong năm qua.

Để bảo vệ khỏi các cuộc tấn công tinh vi này, các chuyên gia của Kaspersky khuyến nghị các doanh nghiệp tăng cường khả năng phản ứng nhanh và nâng cao kỹ năng an ninh mạng cho đội ngũ vận hành.

Theo Hải Yên/Báo Tin tức và Dân tộc