حمله بدافزار Tarrask به شبکه های Windows

به گزارش خبرگزاری صداوسیما، گفته می‌شود که مهاجمان سایبری از مرداد تا بهمن ۱۴۰۰، سازمان‌هایی را در بخش‌های مخابرات، شرکت‌های ارائه‌دهنده خدمات اینترنتی و خدمات داده‌ای هدف قرار داده‌اند.
تحلیل الگو‌های حمله به قربانیان اولیه نشان داده است که مهاجمان از ضعف‌های امنیتی روز - صفر در سرور‌های Microsoft Exchange سوءاستفاده کرده‌اند که در اسفند ۱۳۹۹ افشا شد.
محققان مایکروسافت می‌گویند که این بدافزار مخفی شونده وظایف زمان‌بندی شده و پنهانی را در شبکه ایجاد و اجرا می‌کند.
بهره‌جویی از وظایف زمان‌بندی شده برای ماندگاری در شبکه بسیار متداول و روشی فریبنده برای فرار از راهکار‌های امنیتی و دفاعی است.
اگرچه تاکنون گروه هکری Hafnium بیشتر در حملات علیه Exchange Server فعالیت داشته‌اند، اما مدتی است که از آسیب‌پذیری‌های روز - صفر وصله نشده به‌عنوان راه نفوذ برای انتشار بدافزار‌هایی نظیر Tarrask بهره‌جویی می‌کنند.
قصد اصلی مهاجمان پس از ایجاد وظایف زمان‌بندی شده، ایجاد کلید‌های ثبت نامی جدید برای شبکه های قربانی است.
تحلیل حملات بدافزار Tarrask نشان می‌دهد که مهاجمان Hafnium درک کم نظیری از جزئیات  Windows دارند و از این تخصص برای پنهان کردن فعالیت‌های خود در نقاط پایانی استفاده می‌کنند تا در شبکه های آسیب‌پذیر ماندگار و پنهان شوند.
این برای دومین بار در چند هفته اخیر است که استفاده از وظیفه زمان‌بندی شده برای ماندگاری در شبکه های آسیب‌پذیر مشاهده شده است.
بتازگی محققان شرکت مالوربایتس، نیز روشی ساده، اما کارآمد را گزارش داده‌اند که در بدافزاری به نام Colibri به کار گرفته شده است، که در آن از وظایف زمان‌بندی شده برای فعال ماندن پس از راه‌اندازی مجدد دستگاه (Reboot) و اجرای کد‌های بدافزاری، استفاده شده است.
طلاعات فنی و تخصصی نحوه کارکرد بدافزار Tarrask در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به نشانی https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2083/ منتشر شده است.