حمله گروه هکری چینی به سرور‌های مایکروسافت

حمله گروه هکری چینی به سرور‌های مایکروسافت
تاریخ انتشار : ۰۴ ارديبهشت ۱۴۰۱

طبق اعلام مرکز مدیریت راهبردی افتا، گروه هکری چینی از مرداد تا بهمن ۱۴۰۰، سازمان‌هایی را در بخش‌های مخابرات، شرکت‌های ارائه‌دهنده خدمات اینترنتی و خدمات داده‌ای هدف قرار داده‌اند.

به گزارش گروه ترجمه گرداب، مهاجمان سایبری از مرداد تا بهمن ۱۴۰۰، سازمان‌هایی را در بخش‌های مخابرات، شرکت‌های ارائه‌دهنده خدمات اینترنتی و خدمات داده‌ای هدف قرار داده‌اند؛ تحلیل الگو‌های حمله به قربانیان اولیه نشان داده است که مهاجمان از ضعف‌های امنیتی روز صفر در سرور‌های Microsoft Exchange سوءاستفاده کرده‌اند که در اسفند ۱۳۹۹ افشاء شده بود.

محققان مایکروسافت می‌گویند که این بدافزار مخفی شونده وظایف زمان‌بندی شده و پنهانی را در سیستم ویندوز، ایجاد و اجرا می‌کند. بهره‌جویی از وظایف زمان‌بندی شده برای ماندگاری در سیستم بسیار متداول بوده و روشی فریبنده برای فرار از راهکار‌های امنیتی و دفاعی است.

بررسی‌ها نشان می‌دهد که گروه هکری چینی Hafnium با استفاده از بدافزار Tarrask در سیستم‌های آسیب‌پذیر ویندوز، ماندگار و پنهان می‌شوند.

اگرچه تاکنون این گروه هکری بیشتر در حملات علیه Exchange Server فعالیت داشته، اما مدتی است که از آسیب‌پذیری‌های روز صفر وصله نشده به‌عنوان راه نفوذ برای انتشار بدافزار‌هایی نظیر Tarrask استفاده می‌کند.

قصد اصلی این گروه مهاجم، پس از ایجاد وظایف زمان‌بندی شده، ایجاد کلید‌های رجیستری جدید برای سیستم‌های قربانی است.

تحلیل حملات بدافزار Tarrask نشان می‌دهد که مهاجمان Hafnium درک منحصربه‌فردی از جزئیات سیستم‌عامل ویندوز دارند و از این تخصص برای پنهان کردن فعالیت‌های خود در نقاط پایانی استفاده می‌کنند تا در سیستم‌های آسیب‌پذیر ماندگار و پنهان شوند.

این برای دومین بار در چند هفته اخیر است که استفاده از وظیفه زمان‌بندی شده برای ماندگاری در سیستم‌های آسیب‌پذیر، مشاهده شده است.

اخیراً محققان شرکت مالوربایتس، نیز روشی ساده، اما کارآمد را گزارش داده‌اند که در بدافزاری به نام Colibri به کار گرفته شده است و در آن از وظایف زمان‌بندی شده برای فعال ماندن پس از راه‌اندازی مجدد دستگاه (Reboot) و اجرای کد‌های بدافزاری، استفاده شده است.