هکرهای چینی به سرورهای شرکت مایکروسافت نفوذ کردند

 خبرگزاری مهر گزارش داد به نقل از مرکز مدیریت راهبردی افتا، مهاجمان و هکرهای سایبری از مرداد تا بهمن ۱۴۰۰،  به سازمان‌هایی در شبکه مخابرات، شرکت‌هایی که خدمات اینترنتی و داده ای را ارائه می دهند حمله ور شدند.؛ تحلیل و بررسی که از الگوهای حمله به قربانیان اولیه به دست آمده است مشخص می کند که حمله کنندگان ضعف‌های امنیتی روز صفر در سرورهای Microsoft Exchange را مورد سوء استفاده قرار داده اند که در اسفند ۱۳۹۹ فاش شده بود.

محققان مایکروسافت بر این باورند که این بدافزار مخفی شونده وظایف زمان‌بندی و برنامه ریزی شده ای را به صورت پنهانی در سیستم ویندوز ایجاد می کند و آن را به اجرا در می آورد. بهره‌ گیری از وظایف زمان‌بندی شده برای ماندگاری در سیستم بسیار رایج بوده و این روش راهی فریبنده برای فرار از تدابیر و راهکارهای امنیتی و دفاعی می باشد.

بررسی‌ها حاکی از آن است که گروه هکری چینی Hafnium  از بدافزار Tarrask در سیستم‌های آسیب‌پذیر ویندوز استفاده می کنند تا ماندگار شوند و مخفی بمانند.

اگرچه بیشترین فعالیت این گروه مهاجم تا به الان مربوط به حملات علیه Exchange Server بوده، اما به تازگی از آسیب‌پذیری‌های روز صفر وصله نشده به‌عنوان راهی برای نفوذ در جهت انتشار بدافزارهایی مانند Tarrask استفاده می نماید.

هدف و نیت اصلی این گروه هکری، پس از ایجاد وظایف زمان‌بندی و برنامه ریزی شده، آن است که بتوانند به کلیدهای رجیستری جدیدی برای سیستم‌های قربانی دست پیدا کنند.

بررسی و تحلیل حملات بدافزار Tarrask نشان دهنده آن است که حمله کنندگان Hafnium درک بالا و روشنی از جزئیات سیستم‌عامل ویندوز دارند و از این قابلیت در جهت مخفی کردن فعالیت‌های خود در نقاط پایانی استفاده می‌ نمایند تا بتوانند در سیستم‌های آسیب‌پذیر ماندگار و پنهان شوند.

این برای بار دوم است که در چند هفته گذشته شاهد استفاده از وظیفه زمان‌بندی شده جهت ماندگاری در سیستم‌های آسیب‌پذیر، هستیم.

به تازگی محققان شرکت مالوربایتس، همچنین روشی ساده ولی کاربردی را ارائه داده‌اند که در بدافزاری به نام Colibri به کار گرفته برده شده و در آن وظایف زمان‌بندی شده برای فعال ماندن بعد از راه‌اندازی مجدد دستگاه (Reboot) و اجرای کدهای بدافزاری را مورد استفاده قرار داده اند.