Новый бэкдор GhostContainer маскируется под компонент Exchange

Екатерина Быстрова 21 Июля 2025 - 17:27

Корпорации

Государство

Лаборатория Касперского

Бэкдоры

Трояны

Целевые атаки

Таргетированные атаки

...

Новый бэкдор GhostContainer маскируется под компонент Exchange

Специалисты из команды Kaspersky GReAT (глобальный центр по изучению киберугроз «Лаборатории Касперского») нашли новый сложный бэкдор под названием GhostContainer. Этот вредонос позволяет злоумышленникам управлять заражённым устройством и, судя по всему, используется в таргетированных атаках на крупные компании. Основная цель, как предполагается, — кибершпионаж.

Зловред был обнаружен при расследовании атаки на Exchange-сервер в госсекторе. Аналитики обратили внимание на подозрительный файл с именем App_Web_Container_1.dll.

Выяснилось, что это не обычный компонент, а многофункциональный бэкдор, построенный на основе нескольких проектов с открытым исходным кодом.

Что делает этот зловред таким опасным:

он может расширяться — загружать дополнительные модули и получать новые функции;
маскируется под легитимные компоненты Exchange, чтобы его не заметили системы защиты;
может использоваться как прокси или туннель, что ставит под угрозу всю внутреннюю сеть организации.

По сути, установив такой бэкдор, злоумышленник получает полный доступ к серверу Exchange, а вместе с ним — и к чувствительной информации компании.

По словам Сергея Ложкина, главы GReAT в регионах APAC и МЕТА, у разработчиков GhostContainer явно высокий технический уровень. Они хорошо понимают архитектуру Exchange и умеют превращать открытый код в эффективные инструменты для слежки. Пока атаки фиксируются только в Азии, но ничто не мешает злоумышленникам перенести их и в другие регионы.

Интересно, что сам GhostContainer пока не удалось точно привязать к какой-либо известной хакерской группе, так что исследователи продолжают следить за развитием ситуации.

Фоном к этому стоит отметить тревожную тенденцию: по данным «Лаборатории Касперского», к концу 2024 года в проектах с открытым исходным кодом по всему миру уже было обнаружено 14 тысяч вредоносных пакетов — на 48% больше, чем годом ранее. Так что использовать open source — это удобно, но теперь всё чаще и небезопасно.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 01 Ноября 2025 - 18:09

Мошенничество Онлайн-мошенничество Домашние пользователи Малый и средний бизнес

Мошенники представляются сотрудниками ФНС и выманивают коды от Госуслуг

В преддверии сезона налоговой отчетности активизировались телефонные мошенники. Теперь злоумышленники представляются инспекторами Федеральной налоговой службы и под этим предлогом пытаются получить доступ к банковским счетам граждан.

Как рассказал Виктор Иевлев, руководитель отдела информационной безопасности группы компаний «Гарда» (входит в ИКС Холдинг), сценарий выглядит максимально убедительно.

«Звонящий представляется сотрудником ФНС, уверенно называет персональные данные собеседника — адрес, номер телефона, почту, ФИО и другие сведения. Такая детализация создаёт ощущение, что действительно звонят из налоговой. После этого “инспектор” обвиняет человека в неподаче декларации и предлагает записаться на приём. Для подтверждения записи якобы приходит СМС с кодом — обычно это код для входа в Госуслуги. Жертву просят его продиктовать», — поясняет эксперт.

На самом деле мошенники таким образом получают доступ к учётным записям и финансовым данным.

По словам специалистов, подобные атаки становятся возможными из-за масштабных утечек персональных данных. Информацию злоумышленники собирают из разных источников: баз утекших онлайн-магазинов и банков, данных data-брокеров, даркнет-площадок, а также открытых профилей в соцсетях. Склеивая фрагменты, они создают подробный «портрет» жертвы — и потому кажутся убедительными.

Эксперты напоминают:

ФНС не звонит гражданам, чтобы записать на приём или уточнить декларацию. Сделать это можно только через официальный сайт или через Госуслуги.
Никогда не сообщайте коды из СМС — ни под каким предлогом.
Если есть хоть малейшие сомнения — прекратите разговор и проверьте номер. Обычно он оказывается зарегистрирован на сторонние организации.
Если код всё же был передан мошенникам — сразу свяжитесь с банком, заблокируйте доступ к счетам и смените пароли от всех связанных сервисов, особенно от Госуслуг и личного кабинета ФНС.

«Чем больше информации о себе человек публикует в сети, тем проще злоумышленникам выстроить доверительный контакт. Не стоит недооценивать их подготовку — многие звонки звучат так, будто с вами разговаривает настоящий чиновник», — предупреждает Виктор Иевлев.

Новый бэкдор GhostContainer маскируется под компонент Exchange

Читайте также