İSTANBUL (AA) - Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), 'GhostContainer' olarak adlandırılan açık kaynaklı araçlara dayalı yeni bir arka kapı yazılımı ortaya çıkardı.

Şirketten yapılan açıklamaya göre, özelleştirilmiş bu kötü amaçlı yazılım, kamu kurumlarının Microsoft Exchange altyapısını hedef alan bir olay müdahale (IR) vakası sırasında tespit edildi.

Yazılımın, yüksek teknoloji şirketleri dahil Asya'daki değerli kuruluşları hedef alan gelişmiş kalıcı tehdit (APT) kampanyasının bir parçası olabileceği düşünülüyor.

Kaspersky tarafından 'App_Web_Container_1.dll' olarak tespit edilen dosya, çeşitli açık kaynak projelerinden yararlanan ve ek modül indirmeleri yoluyla rastgele fonksiyonlarla dinamik olarak genişletilebilen karmaşık, çok işlevli bir arka kapı yapısına sahip. Bu arka kapı, yüklendikten sonra saldırganlara Exchange sunucusu üzerinde tam kontrol sağlayarak çok çeşitli kötü niyetli faaliyetleri gerçekleştirmesine olanak tanıyor.

- Siber casusluk için kullanılabilir

Güvenlik çözümlerinin tespitinden kaçınmak için çeşitli kaçırma teknikleri kullanan yazılım, normal işlemlere karışmak için kendisini meşru bir sunucu bileşeni şeklinde gösteriyor. Bir proxy ya da tünel görevi görerek, potansiyel olarak dahili ağı dış tehditlere maruz bırakabiliyor ya da hassas verilerin iç sistemlerden dışarı sızmasını kolaylaştırabiliyor. Bu nedenle, kampanyanın amacının siber casusluk olduğundan şüpheleniliyor. Saldırganlar, herhangi bir altyapıyı ifşa etmedikleri için GhostContainer'ı bilinen herhangi bir tehdit aktörü grubuyla ilişkilendirmek henüz mümkün olmuyor.

Kötü amaçlı yazılım, dünya genelindeki bilgisayar korsanları veya APT grupları tarafından kullanılabilecek, halka açık birkaç açık kaynak projesinden gelen kodları içeriyor. Kaspersky, 2024 yılı sonu itibarıyla, açık kaynak projelerinde toplam 14 bin kötü amaçlı paket tespit etti. Bu rakam, 2023 sonuna kıyasla yüzde 48'lik bir artışa karşılık geliyor.

Açıklamada görüşlerine yer verilen Kaspersky GReAT Asya-Pasifik (APAC) ve Orta Doğu, Türkiye ve Afrika (META) Başkanı Sergey Lozhkin, bu kötü amaçlı yazılımı derinlemesine analiz ettiklerini belirtti.

Lozhkin, 'Analizlerimiz, saldırganların Exchange sistemlerini istismar etme ve IIS ve Exchange ortamlarına sızmayla ilgili çeşitli açık kaynaklı projelerden yararlanmasının yanı sıra halka açık koda dayalı sofistike casusluk araçları oluşturma ve geliştirme konusunda oldukça yetenekli olduğunu ortaya koydu. Tehdit ortamını daha iyi anlamak için bu saldırıların kapsamı, ölçeği ve faaliyetlerini izlemeye devam edeceğiz.' değerlendirmesinde bulundu.