U sofisticiranom kibernetičkom napadu usmjerenom na ključnu nacionalnu infrastrukturu na Bliskom istoku otkriveno je kako akteri prijetnje iskorištavaju Windows Task Scheduler za održavanje upornog pristupa kompromitovanim sistemima. Ovaj napad uključuje zlonamjernu varijantu okvira Havoc, poznatog alatnog centra za post-eskalaciju komandi i upravljanja, uglavnom napisanog na C++ i Go, demonstrirajući napredne tehnike za infiltraciju sistema i dugoročnu upornost.
Kampanja zlonamjernog softvera predstavlja značajnu eskalaciju u ciljanju kritične infrastrukture, pri čemu napadači uspješno održavaju produženi pristup sistemima kroz pažljivo osmišljene mehanizme upornosti. Vektor napada koristi prikriveni daljinski injektor koji se predstavlja kao legitimni Windows proces Console Host (conhost.exe), koji je standardna komponenta operativnih sistema Windows još od verzije Windows 7. Ovo strateško obmanjivanje omogućava zlonamjernom softveru da se neprimjetno uklopi u legitimne sistemske procese, značajno smanjujući vjerovatnoću otkrivanja od strane alata za sigurnosno nadgledanje.
Analitičari kompanije Fortinet identifikovali su ovaj sofisticirani napad tokom svoje istrage upada usmjerenog na kritičnu nacionalnu infrastrukturu Bliskog istoka. Istraživači su otkrili da su napadači strateški postavili više zlonamjernih komponenti unutar sistemskog Task Scheduler-a kako bi osigurali kontinuirani pristup čak i nakon ponovnog pokretanja sistema ili sigurnosnih intervencija. Strategija upornosti zlonamjernog softvera pokazuje duboko razumijevanje arhitekture Windows sistema i sigurnosnih mehanizama.
Napad započinje izvršavanjem zlonamjerne datoteke prerušene u conhost.exe, pokrenute putem Windows Task Scheduler-a koristeći komandnu liniju: `C:\Windows\System32\drivers\conhost.exe -f conhost.dll -ER –ln –path cmd.exe`. Ova struktura komande otkriva sofisticiranu prirodu napada, gdje parametar „-f“ specificira šifrovani Havoc payload sadržan u conhost.dll, dok parametar „–path“ označava cmd.exe kao ciljni proces za ubrizgavanje.
Daljinski injektor koristi napredne tehnike ubrizgavanja procesa za postavljanje Havoc payload-a. Po izvršenju, kreira se novi cmd.exe proces koristeći CreateProcessA() API, uspostavljajući naizgled legitimni proces koji služi kao domaćin za zlonamjerni payload. Injektor zatim dešifruje Havoc agenta koristeći ugrađeni shellcode unutar datoteke conhost.dll, pri čemu se ključ za dešifriranje i inicijalizacijski vektor izdvajaju iz prvih 48 bajtova datoteke DLL-a. Proces ubrizgavanja koristi nisko-nivone Windows API funkcije uključujući ZwAllocateVirtualMemory() i ZwWriteVirtualMemory() za ubrizgavanje i dešifrovanog shellcode-a i Havoc izvršnog programa u novokreirani cmd.exe proces. Konačno, zlonamjerni softver uspostavlja izvršenje putem ZwCreateThreadEx(), kreirajući udaljenu nit unutar ciljnog procesa koja izvršava ubrizgani shellcode, efektivno raspoređujući Havoc pozadinu uz održavanje izgleda legitimne sistemske aktivnosti.
