حمله بدافزار Tarrask به سیستم‌های ویندوز

گروه هکری چینی Hafnium از بدافزار Tarraskبرای ماندگاری در سیستم‌های آسیب‌پذیر Windows استفاده می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گروه هکری چینی Hafnium از بدافزاری جدیدی برای ماندگاری در سیستم‌های آسیب‌پذیر Windows استفاده می‌کند.

گفته می‌شود که این مهاجمان، از مرداد ۱۴۰۰ تا بهمن ۱۴۰۰، سازمان‌هایی را در بخش‌های مخابرات، شرکت‌های ارائه‌دهنده خدمات اینترنتی و خدمات داده‌ای هدف قرار داده‌اند.

تحلیل الگوهای حمله به قربانیان اولیه نشان داده است که آن‌ها از ضعف‌های امنیتی روز - صفر در سرورهای Microsoft Exchange که در اسفند ۱۳۹۹ افشاء شد، سوءاستفاده کرده‌اند.

محققان مایکروسافت این بدافزار مخفی شونده را Tarrask نامیده‌‎اند و آن را ابزاری توصیف کرده‌اند که وظایف (Task) زمان‌بندی شده و پنهانی را در سیستم ایجاد و اجرا می‌کند. بهره‌جویی از وظایف زمان‌بندی شده برای ماندگاری در سیستم بسیار متداول بوده و روشی فریبنده برای فرار از راهکارهای امنیتی و دفاعی است.

اگرچه تاکنون گروه هکری Hafnium بیشتر در حملات علیه Exchange Server فعالیت داشته‌اند، اما مدتی است که به بهره‌جویی از آسیب‌پذیری‌های روز - صفر وصله نشده به‌عنوان راه نفوذ برای انتشار بدافزارهایی نظیر Tarrask روی آورده‌اند. پس از ایجاد وظایف زمان‌بندی شده، کلیدهای رجیستری جدید در دو مسیر Tree و Tasks ایجاد می‌شود.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionScheduleTaskCacheTreeTASK_NAME
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionScheduleTaskCacheTasks{GUID}

به نقل از محققان، در این روش، مهاجم وظیفه‌ای زمان‌بندی شده به نام WinUpdate را از طریق HackTool:Win۶۴/Tarrask ایجاد می‌کند تا هرگونه قطعی ارتباط با سرور کنترل و فرماندهی (Command and Control – به‌اختصار C&C) خود را دوباره برقرار کند.

"این منجر به ایجاد کلیدهای رجیستری و مقادیر توصیف شده می‌شود، بااین‌حال، مهاجم مقدار Security Descriptor را در مسیر Tree Registry پاک می‌کند. یک "توصیف‌گر امنیتی" (Security Descriptor – به‌اختصار SD) مجوزهای دسترسی را برای اجرای وظیفه زمان‌بندی شده تعریف می‌‌کند.

اما با پاک‌کردن مقدار SD در مسیر Tree Registry ، عملاً این وظیفه از Windows Task Scheduler یا از ابزار خط فرمان schtasks حذف و ناپدید می‌شود، مگر اینکه به‌صورت دستی با پیمایش مسیرها در Registry Editor بررسی شود. تحلیل حملات بدافزار Tarrask نشان می‌دهد که مهاجمان Hafnium درک منحصربه‌فردی از جزئیات سیستم‌عامل Windows دارند و از این تخصص برای پنهان کردن فعالیت‌های خود در نقاط پایانی استفاده می‌کنند تا در سیستم‌های آسیب‌پذیر ماندگار و پنهان شوند.

این برای دومین بار در چند هفته اخیر است که استفاده از وظیفه زمان‌بندی شده برای ماندگاری در سیستم‌های آسیب‌پذیر مشاهده شده است.

اخیراً محققان شرکت مالوربایتس (Malwarebytes, Inc.)، نیز روشی ساده اما کارآمد را که توسط بدافزاری به نام Colibri به کار گرفته شده، گزارش داده‌اند که در آن از وظایف زمان‌بندی ‌شده برای فعال ماندن پس از راه‌اندازی مجدد دستگاه (Reboot) و اجرای کدهای بدافزاری، استفاده شده است.