برامج ضارة صينية تهاجم الأجهزة التي تعمل بنظام ويندوز ,تم ربط مجموعة قرصنة هافنيوم المدعومة من الصين بجزء من برنامج ضار جديد يستخدم للحفاظ على الثبات في بيئات Windows المعرضة للخطر.

يقال إن الفاعل استهدف كيانات في قطاعات الاتصالات ومزود خدمة الإنترنت وخدمات البيانات من أغسطس 2021 إلى فبراير 2022 ، متوسعة من أنماط الضحية الأولية التي لوحظت خلال هجماتها مستغلة عيوب يوم الصفر في خوادم Microsoft Exchange في مارس. 2021.

ووصف مركز مايكروسوفت لذكاء التهديدات (MSTIC) ، الذي أطلق على برنامج التهرب الدفاعي الخبيث “Tarrask” ، هذا البرنامج بأنه أداة تخلق مهام “مخفية” مجدولة على النظام. قال الباحثون: “إن إساءة استخدام المهام المجدولة هي طريقة شائعة جدًا للمثابرة والتهرب الدفاعي – وهي طريقة مغرية في ذلك”.

على الرغم من أن هافنيوم هو الأكثر شهرة في هجمات Exchange Server ، فقد استفاد منذ ذلك الحين من ثغرات يوم الصفر غير المصححة كمتجهات أولية لإسقاط قذائف الويب والبرامج الضارة الأخرى ، بما في ذلك Tarrask ، الذي ينشئ مفاتيح تسجيل جديدة ضمن مسارين شجرة ومهام عند إنشاء المهام المجدولة –

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

قال الباحثون: “في هذا السيناريو ، أنشأ ممثل التهديد مهمة مجدولة باسم ‘WinUpdate’ عبر HackTool: Win64 / Tarrask من أجل إعادة إنشاء أي اتصالات مقطوعة إلى البنية التحتية للقيادة والتحكم (C&C) الخاصة بهم”.

“نتج عن ذلك إنشاء مفاتيح التسجيل والقيم الموضحة في القسم السابق ، ومع ذلك ، حذف عامل التهديد قيمة [Security Descriptor] داخل مسار تسجيل Tree.” يحدد واصف الأمان (المعروف أيضًا باسم SD) عناصر التحكم في الوصول لتشغيل المهمة المجدولة.

ولكن من خلال محو قيمة SD من مسار التسجيل الشجري المذكور أعلاه ، فإنه يؤدي بشكل فعال إلى “اختفاء” المهمة من برنامج جدولة مهام Windows أو الأداة المساعدة لسطر أوامر schtasks ، ما لم يتم فحصها يدويًا عن طريق التنقل إلى المسارات في محرر التسجيل.

قال الباحثون: “تشير الهجمات […] إلى أن المهاجم الهافينيوم يُظهر فهماً فريداً لنظام Windows الفرعي ويستخدم هذه الخبرة لإخفاء الأنشطة على نقاط النهاية المستهدفة للحفاظ على الثبات على الأنظمة المتأثرة والاختباء في مرأى من الجميع”.

يمثل الكشف المرة الثانية خلال عدة أسابيع التي ظهرت فيها آلية استمرار قائمة على المهام المجدولة. في الآونة الأخيرة ، قامت Malwarebytes بتفصيل طريقة “بسيطة ولكنها فعالة” التي اعتمدها برنامج ضار يسمى Colibri والتي تضمنت اختيار المهام المجدولة للنجاة من عمليات إعادة تمهيد الجهاز وتنفيذ الحمولات الضارة.

برامج ضارة صينية تهاجم الأجهزة التي تعمل بنظام ويندوز ,اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

Share.

Leave A Reply