Kaspersky만의 글로벌 연구 및 분석 그룹(GReAT) 전문가에 따르면 이 악성 코드는 오픈 소스 도구를 기반으로 구축되었습니다. 이것은 이전에 발견된 적이 없는 정교한 악성 코드입니다.
GReAT 그룹은 마이크로소프트 익스체인지(기업이나 교육 기관에 일반적으로 사용되는 이메일 서비스)를 사용하는 정부 시스템에서 문제에 대응하는 과정에서 이 악성 코드를 발견했습니다.
GhostContainer는 대기업을 포함하여 아시아 지역의 주요 조직을 대상으로 하는 정교하고 장기적인 사이버 공격 캠페인(APT스팅스팅)의 일부로 여겨집니다.
이것은 원격으로 다른 모듈을 로드하여 확장하고 사용자 정의할 수 있는 다기능 악성 코드 유형입니다. 이 악성 코드는 많은 오픈 소스 프로젝트를 활용하고 탐지를 피하기 위해 정교하게 사용자 정의됩니다.
고스트컨테이너를 시스템에 성공적으로 설치하면 해커는 Exchange, 서버를 쉽게 완전히 제어하여 사용자가 모르는 사이에 일련의 위험한 행동을 수행할 수 있습니다.
이 악성 코드는 서버의 합법적인 구성 요소로 정교하게 위장되어 있으며 바이러스 백신 소프트웨어에 의해 탐지되는 것을 피하고 보안 감시 시스템을 우회하기 위해 많은 회피 및 감시 기술을 사용합니다.
또한 이 악성 코드는 중간 서버 또는 암호화 터널(터널)처럼 작동하여 해커가 내부 시스템에 침입하거나 중요한 정보를 훔칠 수 있는 틈을 만들 수 있습니다.
Kaspersky의 GReAT 아시아 태평양 및 중동-아프리카 지역 책임자인 세르게이 로즈킨은 '우리의 심층 분석에 따르면 배후의 범인은 Microsoft Exchange 서버 시스템에 침입하는 데 매우 능숙합니다. 우리는 위협의 전체적인 그림을 더 잘 이해하기 위해 이 그룹의 활동과 공격의 범위 및 위험 수준을 계속해서 모니터링할 것입니다.'라고 말했습니다.
카스퍼스키 사이버 보안 전문가들은 기업이 발견되었거나 발견되지 않은 사이버 범죄 집단의 표적 공격의 피해자가 되는 것을 피하기 위해 다음과 같은 몇 가지 조치를 취할 것을 권장합니다.
- 보안 운영팀(SOC)에 최신 위협 정보 소스에 대한 액세스 권한을 부여합니다.
- 업계 최고의 전문가가 설계한 온라인 교육 프로그램을 통해 사이버 보안 팀의 기술을 향상시켜 새로운 위협에 대비할 수 있도록 돕습니다.
- EDR과 같은 단말 장치에서 바로 문제를 감지하고 처리하는 솔루션을 적용하여 입을 감지하고 공격 징후를 조사하고 적시에 대응합니다.
- 기업 네트워크 수준의 보안 솔루션을 추가하면 시스템에서 조용히 진행 중인 복잡한 공격을 조기에 감지하는 데 도움이 됩니다.
- 많은 표적 공격이 피싱 이메일이나 심리적 속임수 형태로 시작되기 때문에 직원을 위한 보안 인식 개선 교육 과정을 조직해야 합니다.
