Microsoft expose un logiciel malveillant évasif chinois Tarrask attaquant les ordinateurs Windows

Microsoft expone el malware evasivo chino Tarrask que ataca las computadoras con Windows Des nouvelles

Le groupe de piratage Hafnium, soutenu par la Chine, a été lié à un nouveau malware utilisé pour maintenir la persistance dans les environnements Windows compromis.

L’acteur de la menace aurait ciblé des entités dans les secteurs des télécommunications, des fournisseurs de services Internet et des services de données d’août 2021 à février 2022, s’étendant à partir des modèles de victimologie initiaux observés lors de ses attaques exploitant les failles zero-day des serveurs Microsoft Exchange en mars. 2021.

Microsoft Threat Intelligence Center (MSTIC), qui a surnommé le malware d’évasion de la défense « Tarrask« , l’a caractérisé comme un outil qui crée des tâches planifiées « cachées » sur le système. « L’abus de tâches planifiées est une méthode très courante de persistance et d’évasion de la défense – et séduisante, en plus », ont déclaré les chercheurs. mentionné.

Hafnium, bien que le plus connu pour les attaques Exchange Server, a depuis exploité les vulnérabilités zero-day non corrigées comme vecteurs initiaux pour supprimer les shells Web et autres logiciels malveillants, y compris Tarrask, qui crée de nouvelles clés de registre dans deux chemins Tree et Tasks lors de la création de nouvelles tâches planifiées. –

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTreeTASK_NAME
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks{GUID}

« Dans ce scénario, l’acteur de la menace a créé une tâche planifiée nommée » WinUpdate « via HackTool:Win64/Tarrask afin de rétablir toute connexion interrompue à son infrastructure de commande et de contrôle (C&C) », ont déclaré les chercheurs.

« Cela a entraîné la création des clés de registre et des valeurs décrites dans la section précédente, cependant, l’auteur de la menace a supprimé le [Security Descriptor] valeur dans le chemin de registre de l’arborescence. » Un descripteur de sécurité (alias Dakota du Sud) définit les contrôles d’accès pour l’exécution de la tâche planifiée.

Mais en effaçant la valeur SD du chemin de registre Tree susmentionné, cela conduit effectivement à la tâche masquée du planificateur de tâches Windows ou du schtasks utilitaire de ligne de commande, à moins qu’il ne soit examiné manuellement en accédant aux chemins d’accès dans l’Éditeur du Registre.

« Les attentats […] signifient comment l’acteur de la menace Hafnium affiche une compréhension unique du sous-système Windows et utilise cette expertise pour masquer les activités sur les terminaux ciblés afin de maintenir la persistance sur les systèmes affectés et de se cacher à la vue », ont déclaré les chercheurs.

David
Rate author
Hackarizona