![Microsoft, Windows Bilgisayarlarına Saldıran Kaçak Çin Tarrask Kötü Amaçlı Yazılımını Ortaya Çıkardı](https://kilalu.blog/news/2024-07-30-16:12/Microsoft, Windows Bilgisayarlarına Saldıran Kaçak Çin Tarrask Kötü Amaçlı Yazılımını Ortaya Çıkardı.jpg)
Çin destekli Hafnium korsan grubu, güvenliği ihlal edilmiş Windows ortamlarında kalıcılığı korumak için kullanılan yeni bir kötü amaçlı yazılım parçasıyla ilişkilendirildi.
Tehdit aktörünün, Ağustos 2021’den Şubat 2022’ye kadar telekomünikasyon, internet servis sağlayıcısı ve veri hizmetleri sektörlerindeki varlıkları hedeflediği ve Mart ayında Microsoft Exchange Sunucularındaki sıfırıncı gün kusurlarından yararlanan saldırıları sırasında gözlemlenen ilk kurbanlık kalıplarından genişlediği söyleniyor. 2021.
Savunmadan kaçınma kötü amaçlı yazılımı olarak adlandırılan Microsoft Tehdit İstihbarat Merkezi (MSTIC) “Tarrask,” onu sistem üzerinde “gizli” zamanlanmış görevler oluşturan bir araç olarak nitelendirdi. Araştırmacılar, “Zamanlanmış görev kötüye kullanımı, ısrar ve savunmadan kaçınmanın çok yaygın bir yöntemidir – ve bu açıdan da cezbedicidir” dedim.
Hafnium, Exchange Server saldırılarında en çok dikkat çekeni olsa da, o zamandan beri web kabuklarını ve diğer kötü amaçlı yazılımları düşürmek için ilk vektörler olarak yama uygulanmamış sıfır gün güvenlik açıklarından yararlandı. –
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTreeTASK_NAME
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasksGUID
Araştırmacılar, “Bu senaryoda, tehdit aktörü, komuta ve kontrol (C&C) altyapılarına bırakılan bağlantıları yeniden kurmak için HackTool:Win64/Tarrask aracılığıyla ‘WinUpdate’ adlı zamanlanmış bir görev oluşturdu” dedi.
![](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2022/04/1649857541_721_Microsoft-Windows-Bilgisayarlarina-Saldiran-Kacak-Cin-Tarrask-Kotu-Amacli-Yazilimini.jpg)
“Bu, önceki bölümde açıklanan kayıt defteri anahtarlarının ve değerlerinin oluşturulmasına neden oldu, ancak tehdit aktörü [Security Descriptor] Ağaç kayıt yolu içindeki değer.” Bir güvenlik tanımlayıcısı (diğer adıyla SD) zamanlanmış görevi çalıştırmak için erişim kontrollerini tanımlar.
Ancak, yukarıda bahsedilen Ağaç kayıt yolundan SD değerini silerek, etkin bir şekilde Windows Görev Zamanlayıcı’dan gizlenen göreve veya schtasklar Komut satırı yardımcı programı, Kayıt Defteri Düzenleyicisi’ndeki yollara gidilerek manuel olarak incelenmedikçe.
“Saldırılar […] Araştırmacılar, tehdit aktörü Hafnium’un Windows alt sistemini nasıl benzersiz bir şekilde anladığını ve bu uzmanlığı, etkilenen sistemlerde kalıcılığı sürdürmek ve açıkça gizlenmek için hedeflenen uç noktalardaki faaliyetleri maskelemek için nasıl kullandığını gösteriyor” dedi.
Popular Articles
- 29 Jul GTA 5, Kendini Aştı!
- 05 Aug Türkiye ile Yaşanan Gerginlik Geçici
- 14 Aug İki Eliyle Seri Halinde Aşırı Hızlı Basket Atan Adam
- 19 Aug Sümeyye Sezer, beşinci oldu
- 25 Jul Web semineri: Stade Toulousain NFT’leri neden ve nasıl pazarladı?
Latest Articles
- 25 Jul CIO’ların En Büyük Kabusu Veri Kaybı ve Siber Saldırı
- 10 Aug İngiltere Merkezli Haber Kaynağı Independent, Türkçe Yayınlarına Başladı
- 13 Aug Samsung Applea 1 milyar dolar ödeyecek [Kronoloji]
- 04 Aug IPhone 4, Droid Icredible ve Nexus Oneın Gerçek Bedeli
- 27 Jul EvArkadasim.co: Ev arkadaşı arayanlara yeni bir seçenek