Niesławna grupa hakerów Hafnium, która siała spustoszenie na serwerach Microsoft Exchange, powraca. Ale tym razem Microsoft doskonale zdaje sobie sprawę z działalności sponsorowanej przez państwo grupy atakujących. Firma zdaje sobie sprawę, że grupa wykorzystuje złośliwe oprogramowanie Tarrask do celowania i stopniowego osłabiania ochrony systemu operacyjnego Windows.
Microsoft wyjaśnił , że grupa Hafnium używa Tarraska, „złośliwego oprogramowania do unikania zabezpieczeń”, aby ominąć zabezpieczenia systemu Windows i narazić zagrożone środowiska na podatność na ataki . Zespół wykrywania i reagowania (DART) w poście na blogu :
Ponieważ Microsoft nadal monitoruje sponsorowane przez państwo zagrożenie HAFNIUM o wysokim priorytecie, odkryto nową aktywność, która wykorzystuje niezałatane luki zero-day jako wektory nasion. Dalsze dochodzenie ujawnia artefakty kryminalistyczne związane z używaniem przez Imppacket narzędzi do ruchu poprzecznego i wykonywania, a także wykrycie złośliwego oprogramowania o nazwie Tarrask, które tworzy „ukryte” zaplanowane zadania i kontynuacje w celu usunięcia atrybutów zadań w celu ukrycia zaplanowanych zadań przed tradycyjnymi. środki identyfikacji.
Microsoft aktywnie monitoruje działania Hafnu i zdaje sobie sprawę, że grupa wykorzystuje nowe exploity w podsystemie Windows. Wygląda na to, że grupa używa nieznanego wcześniej błędu systemu Windows, aby ukryć złośliwe oprogramowanie przed „schtasks/zapytanie” i harmonogramem zadań.
Złośliwe oprogramowanie skutecznie unika wykrycia, usuwając odpowiednie ustawienie rejestru Security Descriptor. Mówiąc najprościej, błąd Harmonogramu zadań systemu Windows, który nie został jeszcze naprawiony, pomaga złośliwemu oprogramowaniu wyczyścić jego ślady i upewnić się, że artefakty na dysku (resztki akcji) nie ujawniają, co się dzieje.
Pomijając żargon techniczny, grupa wydaje się używać „ukrytych” zaplanowanych zadań, aby zapewnić dostęp do zhakowanych urządzeń nawet po wielokrotnym ponownym uruchomieniu. Jak w przypadku każdego złośliwego oprogramowania, nawet Tarrask ponownie nawiązuje zerwane połączenia z infrastrukturą dowodzenia i kontroli (C2).
DART firmy Microsoft nie tylko wydał ostrzeżenie , ale także zalecił włączenie rejestrowania dla TaskOperational w dzienniku Microsoft-Windows-TaskScheduler/Operational Task Scheduler. Powinno to pomóc administratorom zidentyfikować podejrzane połączenia wychodzące z krytycznych zasobów warstwy 0 i warstwy 1.
Dodaj komentarz