حمله هکرهای چینی به سرورهای ویندوز/ اژدها وارد می شود
مرکز مدیریت راهبردی افتا جزئیاتی در خصوص حملات گروه هکری چینی Hafnium با استفاده از بدافزار Tarrask به سیستمهای آسیبپذیر Windows منتشر کرده است.
بازتاب -به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، این مهاجمان سایبری از مرداد ۱۴۰۰ تا بهمن همین سال سازمانهایی را در بخشهای مخابرات، شرکتهای ارائهدهنده خدمات اینترنتی و خدمات دادهای هدف قرار دادهاند.
تحلیل الگوریتمهای حملات به قربانیان اولیه نشان میدهد مهاجمان از آسیبپذیری zero day موجود در سرورهای Microsoft Exchange سوءاستفاده کردهاند. به گفته محققان مایکروسافت، این بدافزار scheduled taskهایی را به صورت پنهانی در سیستم ایجاد و اجرا میکند. استفاده از این روش برای دور زدن دیوارهای امنیتی متداول است.
اگرچه گروه هکری Hafnium تاکنون بیشتر در نفوذ به Exchange Server فعالیت داشته، اما مدتی است از آسیبپذیریهای unpatched zero-day به عنوان راه نفوذ برای انتشار بدافزارهایی نظیر Tarrask استفاده میکنند. همچنین گفته میشود هدف اصلی مهاجمان پس از ایجاد scheduled tasks، ایجاد کلیدهای رجیستری جدید برای سیستمهای قربانی است.
تحلیل حملات بدافزار Tarrask نشان میدهد مهاجمان Hafnium با درک منحصربهفردی از جزئیات سیستمعامل Windows، عملکرد خود را در end pointها پنهان نگه میدارند تا بتوانند به فعالیت خود در سیستمهای آسیبپذیر ادامه دهند. این دومین بار در چند هفته اخیر است که از scheduled task برای نفوذ به سیستمهای آسیبپذیر استفاده شده است.
اخیراً محققان شرکت مالوربایتس (Malwarebytes) روشی ساده اما کارآمد را گزارش دادهاند که در بدافزاری به نام Colibri از scheduled tasks برای فعال ماندن پس از راهاندازی مجدد دستگاه (Reboot) و اجرای کدهای بدافزاری استفاده شده است.
اطلاعات فنی و تخصصی نحوه کارکرد بدافزار Tarrask در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.