O infame grupo de hackers Hafnium que causou estragos nos servidores Microsoft Exchange está de volta. Mas desta vez, a Microsoft está bem ciente das atividades de um grupo de invasores patrocinado pelo Estado. A empresa está ciente de que o grupo está usando o malware Tarrask para direcionar e enfraquecer progressivamente a proteção do sistema operacional Windows.
O grupo Hafnium está usando o Tarrask, “malware de evasão de segurança”, para contornar a segurança do Windows e expor ambientes comprometidos à vulnerabilidade, explicou a Microsoft. Equipe de Detecção e Resposta (DART) em uma postagem do blog :
À medida que a Microsoft continua a monitorar a ameaça HAFNIUM patrocinada pelo estado de alta prioridade, foi descoberta uma nova atividade que usa vulnerabilidades de dia zero não corrigidas como vetores de semente. Investigações posteriores revelam artefatos forenses do uso de ferramentas de movimento e execução laterais pelo Impacket, bem como a detecção de um malware evasivo chamado Tarrask, que cria tarefas agendadas “ocultas” e acompanhamentos para remover atributos de tarefas para ocultar tarefas agendadas das tradicionais. meio de identificação.
A Microsoft está monitorando ativamente as atividades do Hafnium e está ciente de que o grupo está usando novas explorações no subsistema Windows. O grupo parece estar usando um bug do Windows anteriormente desconhecido para ocultar malware de “schtasks/query” e do agendador de tarefas.
O malware evita a detecção com sucesso excluindo a configuração de registro do Descritor de Segurança correspondente. Simplificando, o bug do Agendador de Tarefas do Windows que ainda não foi corrigido ajuda o malware a limpar seus rastros e garantir que seus artefatos de disco (restos de ação) não revelem o que está acontecendo.
Deixando de lado o jargão técnico, o grupo parece estar usando tarefas agendadas “ocultas” para manter os dispositivos comprometidos acessíveis mesmo após várias reinicializações. Como acontece com qualquer malware, até mesmo o Tarrask restabelece as conexões quebradas com a infraestrutura de comando e controle (C2).
O DART da Microsoft não apenas emitiu um aviso , mas também recomendou que o log fosse habilitado para TaskOperational no log do Microsoft-Windows-TaskScheduler/Operational Task Scheduler. Isso deve ajudar os administradores a identificar conexões de saída suspeitas de recursos críticos de Camada 0 e Camada 1 .
Deixe um comentário