De door China gesteunde Hafnium-hackgroep is gekoppeld aan een deel van een nieuwe malware die wordt gebruikt om de persistentie in gecompromitteerde Windows-omgevingen te behouden.
De dreigingsactor zou van augustus 2021 tot februari 2022 het doelwit hebben gehad van entiteiten in de sectoren telecommunicatie, internetserviceproviders en dataservices, waarbij hij zich uitbreidde van de aanvankelijke slachtofferpatronen die werden waargenomen tijdens zijn aanvallen, gebruikmakend van de toenmalige zero-day-fouten in Microsoft Exchange-servers in maart 2021.
Microsoft Threat Intelligence Center (MSTIC), dat de verdedigingsontwijkingsmalware noemde “Tarrask“, kenmerkte het als een tool die “verborgen” geplande taken op het systeem creëert. “Gepland taakmisbruik is een veel voorkomende methode van persistentie en verdedigingsontwijking – en een aanlokkelijke methode”, aldus de onderzoekers. zei.
Hafnium, hoewel het meest bekend om Exchange Server-aanvallen, heeft sindsdien niet-gepatchte zero-day-kwetsbaarheden gebruikt als initiële vectoren om webshells en andere malware te verwijderen, waaronder Tarrask, dat nieuwe registersleutels creëert binnen twee paden Tree en Tasks bij het maken van nieuwe geplande taken –
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTreeTASK_NAME
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks{GUID}
“In dit scenario creëerde de dreigingsactor een geplande taak met de naam ‘WinUpdate’ via HackTool:Win64/Tarrask om eventuele verbroken verbindingen met hun command-and-control (C&C) infrastructuur te herstellen”, aldus de onderzoekers.
“Dit resulteerde in het creëren van de registersleutels en -waarden die in de eerdere sectie zijn beschreven, maar de dreigingsactor heeft de [Security Descriptor] waarde binnen het boomregisterpad.” Een beveiligingsdescriptor (ook bekend als SD) definieert toegangscontroles voor het uitvoeren van de geplande taak.
Maar door de SD-waarde uit het eerder genoemde Tree-registerpad te wissen, leidt dit in feite tot de taak die verborgen is voor de Windows Taakplanner of de schtaken opdrachtregelhulpprogramma, tenzij handmatig onderzocht door naar de paden in de Register-editor te gaan.
“De aanslagen” […] aangeven hoe de dreigingsactor Hafnium een uniek begrip van het Windows-subsysteem toont en deze expertise gebruikt om activiteiten op gerichte eindpunten te maskeren om persistentie op getroffen systemen te behouden en zich in het volle zicht te verbergen”, aldus de onderzoekers.
