U sofisticiranom kibernetičkom napadu koji je ciljao kritičnu nacionalnu infrastrukturu na Bliskom istoku, otkriveno je kako akteri prijetnje iskorištavaju Windows Task Scheduler za održavanje trajne prisutnosti na kompromitiranim sistemima. Ovaj napad uključuje zlonamjernu varijantu Havoc frameworka, poznatog C++ i Go backdoor alata za komandovanje i kontrolu nakon eksploatacije, demonstrirajući napredne tehnike infiltracije i dugoročnog održavanja prisutnosti.
Kampanja zlonamjernog softvera predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, pri čemu napadači uspijevaju zadržati produženi pristup sistemima putem pažljivo osmišljenih mehanizama persistencije. U napadu se koristi prikriveni daljinski injektor koji se predstavlja kao legitimni proces Windows Console Host (conhost.exe), standardna komponenta operativnih sistema Windows još od verzije Windows 7.
Ova strategijska obmana omogućava zlonamjernom softveru da se neprimjetno uklopi u legitimne sistemske procese, značajno smanjujući vjerovatnost otkrivanja od strane alata za nadzor sigurnosti. Analitičari kompanije Fortinet identificirali su ovaj sofisticirani napad tokom svoje istrage prodora u kritičnu nacionalnu infrastrukturu na Bliskom istoku.
Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar Task Scheduler sustava kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sustava ili sigurnosnih intervencija. Strategija persistencije zlonamjernog softvera demonstrira duboko razumijevanje arhitekture sustava Windows i sigurnosnih mehanizama.
Napad započinje izvršavanjem zlonamjerne datoteke maskirane kao conhost.exe, pokrenute putem Windows Task Scheduler-a koristeći komandnu liniju: C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe. Ova struktura komande otkriva sofisticiranu prirodu napada, gdje parametar “-f” specificira šifrirani Havoc payload sadržan u conhost.dll, dok parametar “–path” označava cmd.exe kao ciljni proces za injekciju.
Daljinski injektor koristi napredne tehnike injekcije procesa za implementaciju Havoc payload-a. Nakon izvršavanja, kreira novi cmd.exe proces koristeći CreateProcessA() API, uspostavljajući prividno legitimni proces koji služi kao domaćin za zlonamjerni payload. Injektor zatim dešifrira Havoc agenta koristeći ugrađeni shellcode unutar datoteke conhost.dll, pri čemu se ključ za dešifriranje i inicijalizacijski vektor dobivaju iz prvih 48 bajtova datoteke DLL. Proces injekcije koristi niske Windows API-je, uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory(), za ubacivanje dešifriranog shellcode-a i Havoc izvršne datoteke u novokreirani cmd.exe proces. Konačno, zlonamjerni softver uspostavlja izvršavanje putem ZwCreateThreadEx(), stvarajući daljinski thread unutar ciljnog procesa koji izvršava ubrizgani shellcode, efektivno implementirajući Havoc backdoor uz održavanje privida legitimne sistemske aktivnosti.
