Redazione RHC : 25 Agosto 2025 15:04
Negli ultimi dodici mesi, gli esperti di sicurezza hanno notato un incremento degli attaccanti che utilizzano le funzionalità di pianificazione di Windows, previste per la gestione sistemistica, al fine di stabilizzare la loro presenza all’interno di sistemi già stati violati. All’interno dei processi di Task Scheduler vengono integrati comandi dannosi che si attivano in concomitanza con l’avvio, l’accesso o a intervalli di tempo prestabiliti, permettendo agli aggressori di acquisire un accesso occulto e persistente, in grado di eludere con frequenza i sistemi di rilevamento standard.
A differenza dei rootkit elaborati o degli exploit zero-day, queste tecniche sfruttano le funzionalità integrate del sistema, consentendo agli autori delle minacce di persistere senza dover distribuire file binari aggiuntivi o toolchain complesse. Le infezioni iniziali solitamente si manifestano tramite e-mail di phishing o exploit kit che distribuiscono loader leggeri che diventano rapidamente persistenti.
Dopo aver ultimato l’esecuzione sull’endpoint, i ricercatori di sicurezza hanno rilevato che gli aggressori utilizzano il file binario schtasks.exe o i cmdlet di PowerShell al fine di programmare nuove attività o variare quelle già presenti. Ulteriore complessità nel rilevamento è data dal fatto che queste attività possono utilizzare l’account SYSTEM. In numerosi casi, i team di risposta agli incidenti hanno scoperto attività denominate in modo da imitare servizi Windows legittimi, come “TelemetryUpdater” o “HealthCheck”, ma che puntavano a file eseguibili archiviati in directory non convenzionali in C:ProgramDataSystem.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
I primi campioni erano mirati agli istituti finanziari, mentre le campagne più recenti si sono estese ai settori delle infrastrutture critiche, evidenziando l’ampia applicabilità e i bassi costi operativi dell’abuso delle attività pianificate. Gli analisti di DFIR Spot hanno notato che il malware si affida a trigger come LogonTriggere TimeTrigger, configurati per essere eseguiti ogni cinque minuti o a ogni accesso dell’utente.
Questo approccio consente ai componenti dannosi di integrarsi nelle normali attività del sistema, ritardando l’analisi e la correzione. I payload successivi forniti tramite queste attività spaziano dai binari per il coin mining agli strumenti di amministrazione remota. Una volta registrate, le attività spesso si aggiornano automaticamente richiamando script di PowerShell che estraggono moduli aggiuntivi o modificano gli argomenti della riga di comando.
Poiché i registri di Task Scheduler possono essere cancellati o disabilitati dagli aggressori, molte organizzazioni hanno avuto difficoltà a ricostruire le tempistiche senza la telemetria EDR arricchita. Dopo la creazione, il processo viene eseguito con privilegi di SISTEM, avviando un loader di secondo stadio che contatta un C2 remoto o un repository di payload.
Incorporando l’eseguibile in percorsi non standard e sfruttando in modo improprio le funzionalità di pianificazione native, gli autori delle minacce ottengono la persistenza senza richiedere framework di sfruttamento aggiuntivi. Le strategie di rilevamento devono includere una rigorosa definizione delle attività pianificate legittime, il monitoraggio dei registri TaskScheduler/Operational per l’ID evento 106 (attività registrata) e l’applicazione di policy di audit avanzate per acquisire le voci dell’ID evento 4698.
Combinando questi registri con l’analisi della discendenza dei processi basata su EDR è possibile individuare modelli anomali di creazione di attività che si discostano dalle normali operazioni amministrative.
RedazioneNasce una nuova stella all’interno dell’ecosistema di Red Hot Cyber, un progetto pianificato da tempo che oggi vede finalmente la sua realizzazione. Si tratta di un laboratorio allȁ...
Il tema dell’hacking e del furto di auto tramite Flipper Zero è tornato alla ribalta in tutto il mondo e anche noi ne abbiamo parlato con un recente articolo. Questa volta, gli hacker hann...
F6 ha segnalato un forte aumento delle frodi in cui i criminali sfruttano i minori per accedere ai conti bancari dei genitori. Secondo gli analisti, nella prima metà del 2025 sono stati registrat...
Microsoft ha rilasciato una nuova build 26200.5761 (KB5064093) di Windows 11 Insider Preview per gli utenti Windows Insider nel Canale Dev. L’aggiornamento introduce diverse interessanti funzio...
È stata resa pubblica un’analisi approfondita e un esempio di proof-of-concept riguardante la vulnerabilità CVE-2025-43300, una falla di sicurezza critica che consente l’esecuz...
