به گزارش خبرگزاری مهر به نقل از مرکز مدیریت راهبردی افتا، مهاجمان سایبری از مرداد تا بهمن ۱۴۰۰، سازمانهایی را در بخشهای مخابرات، شرکتهای ارائهدهنده خدمات اینترنتی و خدمات دادهای هدف قرار دادهاند؛ تحلیل الگوهای حمله به قربانیان اولیه نشان داده است که مهاجمان از ضعفهای امنیتی روز صفر در سرورهای Microsoft Exchange سوءاستفاده کردهاند که در اسفند ۱۳۹۹ افشاء شده بود.
محققان مایکروسافت میگویند که این بدافزار مخفی شونده وظایف زمانبندی شده و پنهانی را در سیستم ویندوز، ایجاد و اجرا میکند. بهرهجویی از وظایف زمانبندی شده برای ماندگاری در سیستم بسیار متداول بوده و روشی فریبنده برای فرار از راهکارهای امنیتی و دفاعی است.
بررسیها نشان میدهد که گروه هکری چینی Hafnium با استفاده از بدافزار Tarrask در سیستمهای آسیبپذیر ویندوز، ماندگار و پنهان میشوند.
اگرچه تاکنون این گروه هکری بیشتر در حملات علیه Exchange Server فعالیت داشته، اما مدتی است که از آسیبپذیریهای روز صفر وصله نشده بهعنوان راه نفوذ برای انتشار بدافزارهایی نظیر Tarrask استفاده میکند.
قصد اصلی این گروه مهاجم، پس از ایجاد وظایف زمانبندی شده، ایجاد کلیدهای رجیستری جدید برای سیستمهای قربانی است.
تحلیل حملات بدافزار Tarrask نشان میدهد که مهاجمان Hafnium درک منحصربهفردی از جزئیات سیستمعامل ویندوز دارند و از این تخصص برای پنهان کردن فعالیتهای خود در نقاط پایانی استفاده میکنند تا در سیستمهای آسیبپذیر ماندگار و پنهان شوند.
این برای دومین بار در چند هفته اخیر است که استفاده از وظیفه زمانبندی شده برای ماندگاری در سیستمهای آسیبپذیر، مشاهده شده است.
اخیراً محققان شرکت مالوربایتس، نیز روشی ساده اما کارآمد را گزارش دادهاند که در بدافزاری به نام Colibri به کار گرفته شده است و در آن از وظایف زمانبندی شده برای فعال ماندن پس از راهاندازی مجدد دستگاه (Reboot) و اجرای کدهای بدافزاری، استفاده شده است.
اطلاعات فنی و تخصصی نحوه کارکرد بدافزار Tarrask در پایگاه اینترنتی مرکز مدیریت راهبردی افتا منتشر شده است.