Selon les experts du groupe de recherche et d'analyse mondial (GReAT) de Kaspersky ce type de logiciel malveillant est construit sur des outils open source. Il s'agit d'un type de logiciel malveillant sophistique qui n'a jamais ete detecte auparavant.
Le groupe GReAT a decouvert ce logiciel malveillant lors de la reponse aux incidents sur les systemes gouvernementaux utilisant Microsoft Exchange (service de messagerie couramment utilise pour les entreprises et les etablissements d'enseignement).
GhostContainer est considere comme faisant partie d'une campagne d'attaques de reseau sophistiquees et longues (APT) visant des organisations importantes de la region asiatique y compris de grandes entreprises technologiques.
Il s'agit d'un type de logiciel malveillant multifonctionnel capable d'etre extensible et personnalise en telechargeant d'autres modules a distance. Ce logiciel malveillant exploite de nombreux projets open source et est soigneusement personnalise pour eviter d'etre detecte.
Une fois installe avec succes GhostContainer sur le systeme les pirates informatiques peuvent facilement controler completement le serveur Exchange permettant ainsi de commettre une serie de comportements dangereux sans que l'utilisateur ne le sache.
Ce logiciel malveillant est soigneusement camoufle sous la couverture d'un composant valable du serveur et utilise de nombreuses techniques d'evitement et de surveillance pour eviter d'etre detecte par des logiciels antivirus et d'echapper au systeme de surveillance de la securite.
De plus ce logiciel malveillant peut fonctionner comme un serveur intermediaire ou un tunnel crypte creant des failles permettant aux pirates de penetrer dans le systeme interne ou de voler des informations importantes.
M. Sergey Lozhkin chef du groupe GReAT pour la region Asie-Pacifique et le Moyen-Orient - Afrique de Kaspersky a declare : 'Notre analyse approfondie montre que les auteurs sont tres habiles a penetrer dans le systeme de serveurs Microsoft Exchange. Nous continuerons a suivre les activites de ce groupe ainsi que la portee et le niveau de danger des attaques afin de mieux comprendre le tableau global de la menace'.
Pour eviter de devenir victimes d'attaques ciblees provenant d'un groupe de cybercriminels connus ou non decouverts les experts de Kaspersky Security recommandent aux entreprises d'appliquer certaines des mesures suivantes :
- Fournir a l'equipe d'exploitation de la securite (SOC) le droit d'acceder aux dernieres sources d'informations sur les menaces.
- Ameliorer les competences de l'equipe de cybersecurite les aidant a etre prets a faire face aux nouvelles menaces grace a des programmes de formation en ligne conçus par des experts de premier plan.
- Appliquer des solutions pour detecter et traiter les incidents des le debut de l'appareil par exemple EDR pour aider a detecter enqueter et reagir rapidement aux signes d'attaque.
- Combiner des solutions de securite au niveau du reseau d'entreprise pour aider a detecter rapidement les attaques complexes qui se deroulent silencieusement dans le systeme.
- Parce que de nombreuses attaques ciblees commencent souvent par des e-mails frauduleux ou des formes de tromperie psychologique il est necessaire d'organiser des formations pour sensibiliser le personnel a la securite.
