مایکروسافت: بدافزار جدید از باگ ویندوز سوء استفاده می‌کند

مایکروسافت بدافزار جدیدی را کشف کرده است که توسط گروه هک هافنیوم مورد حمایت چین برای حفظ ماندگاری بر روی سیستم‌های ویندوز در معرض خطر با ایجاد و پنهان کردن وظایف برنامه‌ریزی شده استفاده می‌شود.

این گروه پیش از این شرکت‌های دفاعی آمریکا، اتاق‌های فکر و محققان حملات سایبری را هدف قرار داده است.

این گروه همچنین یکی از گروه‌های حمایت شده دولتی است که به گفته مایکروسافت با بهره‌برداری مقیاس جهانی سال گذشته از ProxyLogon مرتبط بوده است. ProxyLogon نقص روز صفری بود که بر تمام نسخه‌های Microsoft Exchange پشتیبانی شده تأثیر می‌گذاشت.

ماندگاری از طریق حذف مقدار رجیستری ویندوز

تیم تشخیص و پاسخ مایکروسافت (DART) گفت: «در حالی که مایکروسافت به دنبال کردن عامل تهدید HAFNIUM با اولویت بالا ادامه می‌دهد، فعالیت‌های جدیدی کشف شده است که از آسیب‌پذیری‌های روز صفر وصله نشده به عنوان بردارهای اولیه استفاده می‌کند.»

«بررسی بیشتر مصنوعات سرنخ‌های فارنزیک، استفاده از ابزار Impacket برای حرکت در عرض و اجرا و یک بدافزار گریز از دفاع به نام Tarrask را نشان می‌دهد که وظایف برنامه‌ریزی شده «پنهان» ایجاد می‌کند و اقداماتی را برای حذف ویژگی‌های وظیفه برای پنهان کردن وظایف برنامه‌ریزی شده از روش‌های سنتی شناسایی انجام می‌دهد.»

این ابزار هک که Tarrask نام دارد از یک باگ ناشناخته ویندوز استفاده می‌کند تا با حذف مقدار رجیستری مربوط به Security Descriptor آن‌ها را از «schtasks /query» و Task Scheduler پنهان کند.

گروه تهدید از این وظایف برنامه‌ریزی شده «پنهان» برای حفظ دسترسی به دستگاه‌های هک شده حتی پس از راه‌اندازی مجدد با برقراری مجدد اتصالات قطع شده به زیرساخت‌های فرمان و کنترل (C2) استفاده کرده است.

در حالی که اپراتورهای Hafnium می‌توانستند تمام آثار به جا مانده بر روی دیسک، از جمله تمام کلیدهای رجیستری و فایل XML اضافه شده به پوشه سیستم را حذف کنند تا تمام آثار فعالیت‌های مخرب خود را پاک کنند، این کار باعث از بین رفتن ماندگاری در راه‌اندازی مجدد می‌شد.

نحوه دفاع در برابر حملات Tarrask 

وظایف «پنهان» را فقط می‌توان با بازرسی دستی دقیق‌تر رجیستری ویندوز پیدا کرد. به این منظور، باید به دنبال وظایف برنامه‌ریزی شده بدون مقدار SD (مشخص‌کننده امنیتی) در task key بگردید.

مدیران سیستم همچنین می‌توانند لاگ‌های Security.evtx و Microsoft-Windows-TaskScheduler/Operational.evtx را برای بررسی رویدادهای کلیدی مرتبط با وظایف «پنهان» با بدافزار Tarrask فعال کنند.

مایکروسافت همچنین توصیه می‌کند ثبت لاگ را برای 'TaskOperational' درMicrosoft-Windows-TaskScheduler/Operational Task Scheduler log فعال کنید و بر روی اتصالات خارجی از دارایی‌های مهم طبقه صفر و طبقه یک نظارت داشته باشید.

DART افزود: «عاملان تهدید در این کمپین از وظایف برنامه‌ریزی شده پنهان برای حفظ دسترسی به دارایی‌های حیاتی در معرض اینترنت با برقراری مجدد ارتباطات خروجی با زیرساخت‌های C&C استفاده کردند.»

«ما می‌دانیم که وظایف برنامه‌ریزی شده ابزاری مؤثر برای دشمنان است تا وظایف خاصی را در حین دست‌یابی به پایداری خودکار انجام دهند، که باعث می‌شود ما آگاهی را در مورد این تکنیکی که اغلب نادیده گرفته شده است افزایش دهیم.»

منبع: Bleeping Computer