Новый бэкдор GhostContainer маскируется под компонент Exchange

Новый бэкдор GhostContainer маскируется под компонент Exchange

Новый бэкдор GhostContainer маскируется под компонент Exchange

Специалисты из команды Kaspersky GReAT (глобальный центр по изучению киберугроз «Лаборатории Касперского») нашли новый сложный бэкдор под названием GhostContainer. Этот вредонос позволяет злоумышленникам управлять заражённым устройством и, судя по всему, используется в таргетированных атаках на крупные компании. Основная цель, как предполагается, — кибершпионаж.

Зловред был обнаружен при расследовании атаки на Exchange-сервер в госсекторе. Аналитики обратили внимание на подозрительный файл с именем App_Web_Container_1.dll.

Выяснилось, что это не обычный компонент, а многофункциональный бэкдор, построенный на основе нескольких проектов с открытым исходным кодом.

Что делает этот зловред таким опасным:

  • он может расширяться — загружать дополнительные модули и получать новые функции;
  • маскируется под легитимные компоненты Exchange, чтобы его не заметили системы защиты;
  • может использоваться как прокси или туннель, что ставит под угрозу всю внутреннюю сеть организации.

По сути, установив такой бэкдор, злоумышленник получает полный доступ к серверу Exchange, а вместе с ним — и к чувствительной информации компании.

По словам Сергея Ложкина, главы GReAT в регионах APAC и МЕТА, у разработчиков GhostContainer явно высокий технический уровень. Они хорошо понимают архитектуру Exchange и умеют превращать открытый код в эффективные инструменты для слежки. Пока атаки фиксируются только в Азии, но ничто не мешает злоумышленникам перенести их и в другие регионы.

Интересно, что сам GhostContainer пока не удалось точно привязать к какой-либо известной хакерской группе, так что исследователи продолжают следить за развитием ситуации.

Фоном к этому стоит отметить тревожную тенденцию: по данным «Лаборатории Касперского», к концу 2024 года в проектах с открытым исходным кодом по всему миру уже было обнаружено 14 тысяч вредоносных пакетов — на 48% больше, чем годом ранее. Так что использовать open source — это удобно, но теперь всё чаще и небезопасно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ФАС предлагает снять часть защиты с правообладателей

По мнению Федеральной антимонопольной службы (ФАС), частичное снятие действующих мер по защите интересов правообладателей в сфере ПО поможет восстановить конкурентную среду на рынке и сдержать рост цен на отдельные виды программ. Это, в свою очередь, позволит снизить государственные расходы на цифровизацию — только в рамках нацпроекта «Экономика данных» они оцениваются примерно в 1 трлн рублей.

Однако представители ИТ-отрасли инициативу не поддерживают. С подготовленными ФАС поправками к закону о защите конкуренции, принятому ещё в 2006 году, ознакомился «Коммерсантъ».

Ведомство считает, что, пользуясь государственной защитой от недобросовестной конкуренции, правообладатели могут безнаказанно злоупотреблять доминирующим положением и заключать антиконкурентные соглашения. При этом подобные действия не подпадают под антимонопольный контроль. Документ разработан по поручению первого вице-премьера Дмитрия Григоренко.

В ФАС пояснили, что предлагаемые меры направлены на унификацию антимонопольного регулирования вне зависимости от вида товара. Они также затронут нетранзакционные платформы, включая социальные сети, поисковые системы и видеохостинги.

Напомним, что глава ФАС Максим Шаскольский выступал с такой инициативой ещё на Антимонопольном форуме 2024 года. Ещё ранее, в 2023 году, проблему поднимал министр финансов Антон Силуанов, отмечая, что монопольное завышение цен на программное обеспечение создаёт серьёзную нагрузку на бюджет.

Однако отраслевые ассоциации инициативу не поддержали. Против высказались НП «Руссофт», Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт» и Ассоциация предприятий компьютерных и информационных технологий (АПКИТ), объединяющие более 600 вендоров.

«Реализация данной инициативы окажет максимально негативное влияние на отечественных разработчиков, которые с 2022 года находятся в условиях ускоренного развития своих продуктов и удовлетворения резко возросших потребностей заказчиков. Из-за вмешательства ФАС IT-компании лишатся возможности выбора партнёров по необходимым компетенциям и выстраивания многоуровневых партнёрских каналов. Это поставит под угрозу задачу достижения цифрового суверенитета и технологического лидерства», — заявил исполнительный директор АРПП «Отечественный софт» Ренат Лашин.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru