சீன ஹேக்கர்கள் கணினியில் நிலைத்திருப்பதை உறுதிப்படுத்த புதிய டார்ஸ்க் மால்வேரைப் பயன்படுத்துகின்றனர்
சீனாவுடன் இணைக்கப்பட்ட APT குழுவான Hafnium, சமரசம் செய்யப்பட்ட விண்டோஸ் சிஸ்டங்களில் நிலைத்திருப்பதை உறுதி செய்வதற்காக புதிய டாராஸ்க் மால்வேரைப் பயன்படுத்தத் தொடங்கியுள்ளது., படி மைக்ரோசாப்ட் அச்சுறுத்தல் நுண்ணறிவு மையத்திற்கு (MSTIC).
ஹாஃப்னியம் முதன்மையாக அமெரிக்காவில் உள்ள நிறுவனங்களை குறிவைக்கிறது, தொற்று நோய் ஆராய்ச்சி மையங்கள் உட்பட, சட்ட நிறுவனங்கள், உயர் கல்வி நிறுவனங்கள், பாதுகாப்பு ஒப்பந்தக்காரர்கள், கல்வியாளர்கள், மற்றும் அரசு சாரா நிறுவனங்கள். இணைய அணுகக்கூடிய சேவையகங்களில் உள்ள பாதிப்புகளைப் பயன்படுத்தி தாக்குதல்கள் நடத்தப்படுகின்றன, மற்றும் முறையான திறந்த மூல கட்டமைப்புகள் போன்றவை உடன்படிக்கை தீம்பொருளைக் கட்டுப்படுத்தப் பயன்படுகிறது.
என MSTIC விளக்கினார், கணினியில் நிலைத்தன்மையை உறுதி செய்வதற்காக, டாராஸ்க் மறைக்கப்பட்ட திட்டமிடப்பட்ட பணிகள் மற்றும் அவற்றுக்கான புதிய விசைகளை உருவாக்குகிறது:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}
நடத்திய தாக்குதலில் மைக்ரோசாப்ட், தாக்குபவர்கள் ஹேக்டூல் மூலம் திட்டமிடப்பட்ட WinUpdate பணியை உருவாக்கினர்:Win64/Tarrask ஆனது C க்கு குறுக்கிடப்பட்ட இணைப்பை மீண்டும் நிறுவுகிறது&சி சர்வர்கள். அவர்கள் பாதுகாப்பு விளக்கத்தை அகற்றினர் (எஸ்டி) மரப் பதிவேட்டில் இருந்து மதிப்பு. திட்டமிடப்பட்ட பணியை இயக்குவதற்கான அணுகல் கட்டுப்பாடுகளை SD வரையறுக்கிறது.
ட்ரீ கோப்பகத்திலிருந்து SD மதிப்பை அழிப்பதே முக்கிய அம்சமாகும், பின்னர் பணி Windows Task Scheduler மற்றும் schtasks கட்டளை வரி பயன்பாட்டில் இருந்து மறைக்கப்படும். இந்தச் செயல்பாட்டைக் கண்டறிவதற்கான ஒரே வழி, ரெஜிஸ்ட்ரி எடிட்டரை கைமுறையாகச் சரிபார்ப்பதுதான்.
நாங்களும் அப்படித்தான் எழுதினோம் என்பதை நினைவுபடுத்துகிறேன் சீன ஹேக்கர்கள் தங்கள் தடங்களை மறைத்து, மால்வேரைக் கண்டறிவதற்கு சில நாட்களுக்கு முன்பு அகற்றிவிடுவார்கள், அதுவும் இதன் ஆசிரியர்களை சீன அதிகாரிகள் கைது செய்துள்ளனர் சினிமா பாட்நெட்.
