حمله بدافزار Tarrask به سیستمهای Windows
گروه هکری چینی Hafnium با استفاده از بدافزار Tarrask در سیستمهای آسیبپذیر Windows ماندگار و پنهان میشوند.
به گزارش مرکز مدیریت راهبردی افتا، گفته میشود که مهاجمان سایبری ، از مرداد 1400 تا بهمن 1400، سازمانهایی را در بخشهای مخابرات، شرکتهای ارائهدهنده خدمات اینترنتی و خدمات دادهای هدف قرار دادهاند.
تحلیل الگوهای حمله به قربانیان اولیه نشان داده است که مهاجمان از ضعفهای امنیتی روز - صفر در سرورهای Microsoft Exchange سوءاستفاده کردهاند که در اسفند 1399 افشاء شد.
محققان مایکروسافت میگویند که این بدافزار مخفی شونده وظایف زمانبندی شده و پنهانی را در سیستم ایجاد و اجرا میکند.
بهرهجویی از وظایف زمانبندی شده برای ماندگاری در سیستم بسیار متداول بوده و روشی فریبنده برای فرار از راهکارهای امنیتی و دفاعی است.
اگرچه تاکنون گروه هکری Hafnium بیشتر در حملات علیه Exchange Server فعالیت داشتهاند، اما مدتی است که از آسیبپذیریهای روز - صفر وصله نشده بهعنوان راه نفوذ برای انتشار بدافزارهایی نظیر Tarrask بهرهجویی میکنند.
قصد اصلی مهاجمان پس از ایجاد وظایف زمانبندی شده، ایجاد کلیدهای رجیستری جدید برای سیستمهای قربانی است.
تحلیل حملات بدافزار Tarrask نشان میدهد که مهاجمان Hafnium درک منحصربهفردی از جزئیات سیستمعامل Windows دارند و از این تخصص برای پنهان کردن فعالیتهای خود در نقاط پایانی استفاده میکنند تا در سیستمهای آسیبپذیر ماندگار و پنهان شوند.
این برای دومین بار در چند هفته اخیر است که استفاده از وظیفه زمانبندی شده برای ماندگاری در سیستمهای آسیبپذیر مشاهده شده است.
اخیراً محققان شرکت مالوربایتس، نیز روشی ساده اما کارآمد را گزارش دادهاند که در بدافزاری به نام Colibri به کار گرفته شده است، که در آن از وظایف زمانبندی شده برای فعال ماندن پس از راهاندازی مجدد دستگاه (Reboot) و اجرای کدهای بدافزاری، استفاده شده است.
اطلاعات فنی و تخصصی نحوه کارکرد بدافزار Tarrask در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس: https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2083/ منتشر شده است.