Các chuyên gia an ninh mạng của Kaspersky vừa phát đi cảnh báo về một loại mã độc mới mang tên GhostContainer, chưa từng được ghi nhận trước đây.
Loại mã độc này tập trung tấn công vào máy chủ Microsoft Exchange – nền tảng được nhiều cơ quan nhà nước và doanh nghiệp sử dụng để quản lý email cùng dữ liệu nội bộ.
Theo Kaspersky, GhostContainer được phát hiện khi họ xử lý sự cố tại một số cơ quan chính phủ ở khu vực châu Á. Mã độc này ngụy trang dưới dạng thư viện hệ thống (.dll) tưởng như hợp lệ nhưng thực chất là backdoor đa năng, cho phép kẻ tấn công âm thầm cài thêm các module độc hại, điều khiển máy chủ từ xa và đánh cắp dữ liệu nhạy cảm.
Phát hiện loại mã độc mới mang tên GhostContainer. Ảnh minh họa
"Tàng hình" và biết thích nghi
GhostContainer được ngụy trang tinh vi dưới vỏ bọc một thành phần phần mềm bình thường, dễ dàng qua mặt các phần mềm diệt virus. Một khi được cài đặt thành công, mã độc cho phép hacker truy cập sâu vào hệ thống nội bộ, điều khiển máy chủ, chèn mã độc mới hoặc tạo đường hầm mã hóa (tunnel) để bí mật trao đổi dữ liệu mà người quản trị không hề hay biết.
Ngoài ra, mã độc này có thể hoạt động như một máy chủ trung gian (proxy) hoặc đường hầm mã hóa (tunnel), tạo kẽ hở để tin tặc xâm nhập vào hệ thống nội bộ hoặc đánh cắp thông tin nhạy cảm. Nhìn vào cách thức hoạt động này, các chuyên gia nghi ngờ mục đích chính của chiến dịch này có thể là do thám, gián điệp mạng (cyber espionage).
Điểm đáng lo ngại là GhostContainer không được viết từ đầu mà dựa trên nhiều công cụ mã nguồn mở, vốn có sẵn trên mạng. Chính điều này khiến việc truy vết và xác định nguồn gốc trở nên khó khăn hơn rất nhiều. Nó cũng đồng nghĩa bất kỳ ai có kỹ năng, từ tin tặc cá nhân đến các nhóm tội phạm có tổ chức đều có thể tận dụng mã độc này.
Ông Sergey Lozhkin, Trưởng nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky, cho biết: “GhostContainer là một ví dụ điển hình cho sự kết hợp giữa kỹ thuật lẩn tránh tinh vi và khả năng tận dụng công cụ mã nguồn mở. Đây là chiến dịch được lên kế hoạch kỹ càng, nhắm vào các tổ chức trọng yếu và có khả năng mang mục đích gián điệp mạng.”
Đáng chú ý, chỉ tính riêng đến cuối năm 2024, các chuyên gia ghi nhận 14.000 gói mã độc ẩn mình trong các dự án mã nguồn mở, tăng gần 50% so với cuối năm trước. Điều này cho thấy môi trường mã nguồn mở đang trở thành mảnh đất màu mỡ cho các nhóm tấn công mạng lợi dụng, phát triển công cụ và phát tán mã độc.
Người dùng cần làm gì?
Để tránh trở thành nạn nhân của các cuộc tấn công có chủ đích đến từ nhóm tội phạm mạng đã biết hay chưa được phát hiện, các chuyên gia của Kaspersky khuyến nghị doanh nghiệp nên áp dụng một số biện pháp sau:
- Trang bị cho đội ngũ vận hành an ninh (SOC) quyền truy cập vào các nguồn thông tin về mối đe dọa mới nhất. Nền tảng Kaspersky Threat Intelligence là nơi tập hợp toàn bộ dữ liệu và phân tích về các cuộc tấn công mạng mà Kaspersky đã thu thập trong hơn 20 năm qua.
- Nâng cao kỹ năng cho đội ngũ an ninh mạng, giúp họ sẵn sàng đối phó với các mối đe dọa mới bằng chương trình đào tạo trực tuyến của Kaspersky do chính các chuyên gia GReAT xây dựng.
- `Kết hợp thêm giải pháp bảo mật ở cấp độ mạng doanh nghiệp, chẳng hạn như Kaspersky Anti Targeted Attack Platform, giúp phát hiện sớm những cuộc tấn công phức tạp đang âm thầm diễn ra trong hệ thống.
