卡巴斯基识别出一个针对Microsoft Exchange服务器的新型后门程序

卡巴斯基全球研究与分析团队（GReAT）发现了一个基于开源工具的新型后门程序，命名为GhostContainer。这个先前未知且高度定制化的恶意程序是在一次事件回应（Incident Response；IR）中被发现的，目标是政府环境中的Exchange基础架构。该恶意程序可能是针对亚洲高价值目标（包括高科技公司）所发动的高端持续性威胁（APT）活动的一部分。

卡巴斯基侦测到的档案名为App_Web_Container_1.dll，实际上是一个功能强大且多功能的后门程序，利用了多个开源专案，并可透过下载额外模块动态扩充任意功能。

一旦加载，它就能让攻击者完全控制Exchange服务器，进行各种恶意操作。为了避免被网安防护系统侦测，它采用了多种规避技术，并伪装成合法的服务器元件，以融入正常运作流程。此外，它还能充当代理或隧道，可能会将内部网络暴露给外部威胁，或协助从内部系统窃取敏感数据。因此，这次攻击活动被怀疑是网络间谍移动。

卡巴斯基亚太区与中东非洲区GReAT负责人Sergey Lozhkin表示，深入分析显示，攻击者非常擅长利用 Exchange系统，并能熟练运用多个与渗透IIS和Exchange环境相关的开源专案。他们也能基于公开程序码打造并强化复杂的间谍工具。卡巴斯基将持续监控他们的活动，以及这些攻击的范围与规模，以更深入了解整体威胁情势。

目前尚无法将GhostContainer归属于任何已知的威胁行为者团体，因为攻击者并未暴露任何基础架构。该恶意程序包含了多个公开可存取的开源专案程序码，可能被全球的黑客或APT团体利用。值得注意的是，截至2024年底，开源专案中已识别出14,000个恶意套件，比2023年底增加48%，凸显了此领域日益严峻的威胁。