Phát hiện mã độc backdoor mới tấn công máy chủ Microsoft Exchange

Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky vừa phát hiện một loại mã độc backdoor mới có tên GhostContainer, được xây dựng dựa trên các công cụ mã nguồn mở.

Đây là một loại mã độc tinh vi, chưa từng được phát hiện trước đó. Nhóm GReAT đã phát hiện ra mã độc này trong quá trình ứng phó sự cố tại các hệ thống chính phủ có sử dụng Microsoft Exchange. GhostContainer được cho là một phần của chiến dịch tấn công mạng tinh vi và kéo dài (APT), nhắm vào những tổ chức quan trọng tại khu vực châu Á, bao gồm cả các công ty công nghệ lớn.

Tệp tin độc hại được Kaspersky phát hiện có tên gọi App_Web_Container_1.dll thực chất là một backdoor đa chức năng, có khả năng mở rộng tùy biến bằng cách tải thêm các mô-đun khác từ xa. Mã độc này tận dụng nhiều dự án mã nguồn mở và được tùy biến tinh vi để tránh bị phát hiện.

Một khi cài thành công GhostContainer vào hệ thống, tin tặc dễ dàng kiểm soát hoàn toàn máy chủ Exchange, từ đó có thể thực hiện hàng loạt hành vi nguy hiểm mà người dùng không hề hay biết. Mã độc này được ngụy trang tinh vi dưới vỏ bọc một thành phần hợp lệ của máy chủ và sử dụng nhiều kỹ thuật né tránh giám sát để tránh bị phát hiện bởi các phần mềm diệt virus và qua mặt hệ thống giám sát an ninh. 

Ngoài ra, mã độc này có thể hoạt động như một máy chủ trung gian (proxy) hoặc đường hầm mã hóa (tunnel), tạo kẽ hở để tin tặc xâm nhập vào hệ thống nội bộ hoặc đánh cắp thông tin nhạy cảm. Nhìn vào cách thức hoạt động này, các chuyên gia nghi ngờ mục đích chính của chiến dịch này có thể là do thám, gián điệp mạng (cyber espionage).

Ông Sergey Lozhkin, Trưởng nhóm Nghiên cứu và Phân tích Toàn cầu khu vực châu Á - Thái Bình Dương và Trung Đông - châu Phi của Kaspersky nhận định: "Phân tích chuyên sâu của chúng tôi cho thấy thủ phạm đứng sau rất thành thạo trong việc xâm nhập vào hệ thống máy chủ Microsoft Exchange. Họ tận dụng nhiều công cụ mã nguồn mở để xâm nhập vào môi trường của IIS và Exchange, đồng thời phát triển các công cụ gián điệp tinh vi dựa trên mã nguồn mở có sẵn. Chúng tôi sẽ tiếp tục theo dõi hoạt động của nhóm này cũng như phạm vi và mức độ nguy hiểm của các cuộc tấn công, nhằm hiểu rõ hơn về bức tranh tổng thể của mối đe dọa".

Để tránh trở thành nạn nhân của các cuộc tấn công có chủ đích đến từ nhóm tội phạm mạng đã biết hay chưa được phát hiện, các chuyên gia của Kaspersky khuyến nghị doanh nghiệp nên áp dụng một số biện pháp sau: