La versatilità di GhostContainer risiede nella sua architettura modulare, in quanto è in grado di scaricare ed eseguire elementi aggiuntivi, ampliando così le proprie capacità con funzioni personalizzate. Fra le attività rilevate, vi sono l’uso del server come proxy o tunnel verso la rete interna e l’esfiltrazione di dati critici, elementi che lasciano supporre un’operazione di spionaggio informatico.
Secondo Sergey Lozhkin, Head of GReAT per APAC & META:
La nostra analisi approfondita ha rivelato che gli attaccanti sono molto abili a sfruttare i sistemi Exchange e a sfruttare vari progetti open source relativi alle infiltrazioni negli ambienti IIS ed Exchange, oltre a creare e potenziare sofisticati strumenti di spionaggio basati su codici pubblicamente accessibili. Continueremo a monitorare la loro attività, insieme alla portata e all'entità di questi attacchi, per comprendere meglio il panorama delle minacce.
L’analisi di Kaspersky non ha ancora permesso di attribuire l’operazione ad un gruppo noto. Ciò nonostante, il fatto che GhostContainer integri codice proveniente da più repository open source conferma il rischio crescente rappresentato dalle supply‑chain di software.
Civilization 6 & all DLCs are free right now, but you need to act fast