پخش زنده
امروز: -
گروه هکری چینی Hafnium با استفاده از بدافزار Tarrask در شبکه های آسیبپذیر Windows ماندگار و پنهان میشوند.
به گزارش خبرگزاری صداوسیما، گفته میشود که مهاجمان سایبری از مرداد تا بهمن ۱۴۰۰، سازمانهایی را در بخشهای مخابرات، شرکتهای ارائهدهنده خدمات اینترنتی و خدمات دادهای هدف قرار دادهاند.
تحلیل الگوهای حمله به قربانیان اولیه نشان داده است که مهاجمان از ضعفهای امنیتی روز - صفر در سرورهای Microsoft Exchange سوءاستفاده کردهاند که در اسفند ۱۳۹۹ افشا شد.
محققان مایکروسافت میگویند که این بدافزار مخفی شونده وظایف زمانبندی شده و پنهانی را در شبکه ایجاد و اجرا میکند.
بهرهجویی از وظایف زمانبندی شده برای ماندگاری در شبکه بسیار متداول و روشی فریبنده برای فرار از راهکارهای امنیتی و دفاعی است.
اگرچه تاکنون گروه هکری Hafnium بیشتر در حملات علیه Exchange Server فعالیت داشتهاند، اما مدتی است که از آسیبپذیریهای روز - صفر وصله نشده بهعنوان راه نفوذ برای انتشار بدافزارهایی نظیر Tarrask بهرهجویی میکنند.
قصد اصلی مهاجمان پس از ایجاد وظایف زمانبندی شده، ایجاد کلیدهای ثبت نامی جدید برای شبکه های قربانی است.
تحلیل حملات بدافزار Tarrask نشان میدهد که مهاجمان Hafnium درک کم نظیری از جزئیات Windows دارند و از این تخصص برای پنهان کردن فعالیتهای خود در نقاط پایانی استفاده میکنند تا در شبکه های آسیبپذیر ماندگار و پنهان شوند.
این برای دومین بار در چند هفته اخیر است که استفاده از وظیفه زمانبندی شده برای ماندگاری در شبکه های آسیبپذیر مشاهده شده است.
بتازگی محققان شرکت مالوربایتس، نیز روشی ساده، اما کارآمد را گزارش دادهاند که در بدافزاری به نام Colibri به کار گرفته شده است، که در آن از وظایف زمانبندی شده برای فعال ماندن پس از راهاندازی مجدد دستگاه (Reboot) و اجرای کدهای بدافزاری، استفاده شده است.
طلاعات فنی و تخصصی نحوه کارکرد بدافزار Tarrask در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به نشانی https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2083/ منتشر شده است.