به گزارش روش سئو طبق اعلام مرکز مدیریت راهبردی افتا، گروه هکری چینی از مرداد تا بهمن ۱۴۰۰، سازمان هایی را در بخش های مخابرات، شرکتهای عرضه دهنده خدمات اینترنتی و خدمات داده ای هدف قرار داده اند.
به گزارش روش سئو به نقل از مرکز مدیریت راهبردی افتا، مهاجمان سایبری از مرداد تا بهمن ۱۴۰۰، سازمان هایی را در بخش های مخابرات، شرکتهای عرضه دهنده خدمات اینترنتی و خدمات داده ای هدف قرار داده اند؛ تحلیل الگوهای حمله به قربانیان اولیه نشان داده است که مهاجمان از ضعف های امنیتی روز صفر در سرورهای Microsoft Exchange سوءاستفاده کرده اند که در اسفند ۱۳۹۹ افشاء شده بود. محققان مایکروسافت می گویند که این بدافزار مخفی شونده وظایف زمان بندی شده و پنهانی را در سیستم ویندوز، ایجاد و اجرا می کند. بهره جویی از وظایف زمان بندی شده برای ماندگاری در سیستم بسیار متداول بوده و روشی فریبنده برای فرار از راهکارهای امنیتی و دفاعی است. بررسی ها نشان داده است که گروه هکری چینی Hafnium با استفاده از بدافزار Tarrask در سیستم های صدمه پذیر ویندوز، ماندگار و پنهان می شوند. باآنکه تابحال این گروه هکری بیشتر در حملات ضد Exchange Server فعالیت داشته، اما مدتی است که از صدمه پذیری های روز صفر وصله نشده بعنوان راه نفوذ برای انتشار بدافزارهایی نظیر Tarrask استفاده می نماید. قصد اصلی این گروه مهاجم، بعد از ایجاد وظایف زمان بندی شده، ایجاد کلیدهای رجیستری جدید برای سیستم های قربانی است. تحلیل حملات بدافزار Tarrask نشان داده است که مهاجمان Hafnium درک منحصربه فردی از جزئیات سیستم عامل ویندوز دارند و از این تخصص برای پنهان کردن فعالیتهای خود در نقاط پایانی استفاده می نمایند تا در سیستم های صدمه پذیر ماندگار و پنهان شوند. این برای بار دوم در چند هفته اخیر است که استفاده از وظیفه زمان بندی شده برای ماندگاری در سیستم های صدمه پذیر، مشاهده شده است. اخیراً محققان شرکت مالوربایتس، هم روشی ساده اما کارآمد را گزارش داده اند که در بدافزاری به نام Colibri به کار گرفته شده است و در آن از وظایف زمان بندی شده برای فعال ماندن پس از طریق اندازی مجدد دستگاه (Reboot) و اجرای کدهای بدافزاری، استفاده شده است. اطلاعات فنی و تخصصی نحوه کارکرد بدافزار Tarrask در پایگاه اینترنتی مرکز مدیریت راهبردی افتا انتشار یافته است.