卡巴斯基全球研究與分析團隊（GReAT）於2025年7月發現名為 GhostContainer 的新型惡意軟件，專門針對亞洲政府及高科技產業的 Microsoft Exchange 伺服器發動攻擊。此後門程式利用已知的 N-day 漏洞（特別是 CVE-2020-0688）滲透伺服器，展現高度客製化與隱匿性，可能屬於進階持續性威脅（APT）攻擊的一部分。以下為 GhostContainer 的運作機制、影響與防護建議的詳細分析。

GhostContainer 惡意軟件的運作機制

GhostContainer 偽裝成合法的 Exchange 伺服器組件，檔案名為 App_Web_Container_1.dll（大小32.8 KB，SHA256: 87a3aefb5cdf714882eb02051916371fbf04af2eb7a5ddeae4b6b441b2168e36）。其核心功能包括：

1. 命令與控制（C2）解析：透過 Stub 類別，GhostContainer 可執行 shellcode、下載檔案、運行命令及載入額外的 .NET 程式碼。攻擊者透過常規 Exchange 網頁請求隱藏控制指令，無需傳統 C2 基礎設施，增加偵測難度。
2. 隱匿技術：該惡意軟件繞過反惡意軟件掃描介面（AMSI）與 Windows 事件日誌，透過修改系統 DLL 記憶體實現隱匿。數據傳輸採用 AES 加密，密鑰源自 ASP.NET 驗證密鑰，確保通訊安全。
3. 虛擬頁面注入：利用 App_Web_843e75cf5b3 類別創建虛擬頁面，規避檔案系統檢查，並透過 Neo-reGeorg 開源工具實現網頁代理與隧道功能，支援長期 TCP 連線。
4. 模組化設計：GhostContainer 可動態下載額外模組，擴展功能，執行包括檔案管理、系統架構探查等惡意操作。

攻擊目標與影響

目前已確認的受害者包括亞洲某重要政府機構及一家高科技公司，顯示攻擊目標為關鍵基礎設施與高價值組織。GhostContainer 的多功能後門設計允許攻擊者完全控制受感染伺服器，可能導致資料外洩、內部網路暴露或進一步的網路攻擊。該惡意軟件利用開源工具（如 ExchangeCmdPy.py 與 Neo-reGeorg），顯示攻擊者對 Exchange 系統的深入了解與專業技術能力。
由於攻擊者未暴露任何 C2 基礎設施，難以追蹤其來源或歸因特定威脅團體。卡巴斯基指出，2024年底開源項目中的惡意套件數量激增48%，達到14,000個，凸顯開源生態系統的安全風險。

漏洞利用與防護建議

GhostContainer 主要利用 CVE-2020-0688（Exchange 伺服器反序列化漏洞）進行初始入侵。此漏洞允許遠端程式碼執行，若未及時修補，可能成為攻擊者的入口。為防範此類攻擊，企業應採取以下措施：

1. 立即更新與修補：確保所有 Exchange 伺服器與相關軟件安裝最新安全更新，修補已知漏洞。
2. 增強威脅情報：為安全運營中心（SOC）提供最新的威脅情報，例如卡巴斯基的 Threat Intelligence 服務，協助識別潛在攻擊。
3. 網路監控與日誌分析：部署進階監控工具，檢查異常的 Exchange 網頁請求，特別是帶有 x-owa-urlpostdata 標頭的流量。
4. 端點保護：使用強大的端點防護解決方案，偵測並阻止惡意 DLL 檔案的執行。
5. 事件回應計畫：制定並定期測試事件回應計畫，模擬類似 APT 攻擊場景，提升應變能力。

結論與展望

GhostContainer 的出現凸顯 APT 攻擊者如何利用開源工具與已知漏洞，結合先進隱匿技術，針對高價值目標發動精準攻擊。亞洲地區的政府與高科技企業應高度警惕，優先強化 Exchange 伺服器的安全防護。隨著開源生態系統的風險持續上升，企業需採取主動防禦策略，結合即時威脅情報與進階安全解決方案，確保關鍵基礎設施免受新型威脅侵害。