Microsoft vạch trần phần mềm độc hại Tarrask của Trung Quốc có khả năng tấn công máy tính Windows

Nhóm hack Hafnium do hậu thuẫn đã được liên kết với một phần của mới được sử dụng để duy trì sự bền bỉ trên các môi trường Windows bị xâm phạm.

Kẻ đe dọa được cho là đã nhắm mục tiêu vào các thực thể trong lĩnh vực viễn thông, nhà cung cấp dịch vụ internet và dịch vụ dữ liệu từ tháng 8 năm 2021 đến tháng 2 năm 2022, mở rộng từ các mẫu nạn nhân ban đầu được quan sát thấy trong các cuộc tấn công khai thác lỗ hổng zero-day trong Máy chủ Microsoft Exchange vào tháng 3 Năm 2021.

Trung tâm Tình báo Đe dọa của Microsoft (MSTIC), nơi được mệnh danh là phần mềm độc hại né tránh phòng thủ “Tarrask“mô tả nó như một công cụ tạo ra các nhiệm vụ được lên lịch” ẩn “trên hệ thống.” Lạm dụng nhiệm vụ theo lịch trình là một phương pháp rất phổ biến để cố chấp và trốn tránh phòng thủ – và là một phương pháp hấp dẫn “, các nhà nghiên cứu cho biết.

Hafnium, trong khi đáng chú ý nhất đối với các cuộc tấn công Exchange Server, kể từ đó đã tận dụng các lỗ hổng zero-day chưa được vá làm vectơ ban đầu để thả các trình bao web và phần mềm độc hại khác, bao gồm cả Tarrask, tạo ra các khóa đăng ký mới trong hai đường dẫn Tree và Tasks khi tạo các tác vụ mới theo lịch trình –

Xem tiếp:   Một công ty khác của Israel, QuaDream, đã bắt được lỗi vũ khí hóa iPhone vì phần mềm gián điệp

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Schedule TaskCache Tree TASK_NAME HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Schedule TaskCache Tasks {GUID}

Các nhà nghiên cứu cho biết: “Trong kịch bản này, kẻ đe dọa đã tạo ra một nhiệm vụ được lên lịch có tên là ‘WinUpdate’ thông qua HackTool: Win64 / Tarrask để thiết lập lại bất kỳ kết nối nào bị ngắt với cơ sở hạ tầng chỉ huy và kiểm soát (C&C) của chúng”.

“Điều này dẫn đến việc tạo ra các khóa đăng ký và các giá trị được mô tả trong phần trước đó, tuy nhiên, tác nhân đe dọa đã xóa [Security Descriptor] giá trị bên trong đường dẫn đăng ký Cây. “Bộ mô tả bảo mật (còn gọi là SD) xác định các điều khiển truy cập để chạy tác vụ đã lên lịch.

Nhưng bằng cách xóa giá trị SD khỏi đường dẫn đăng ký Cây nói trên, nó có hiệu quả dẫn đến nhiệm vụ bị ẩn khỏi Windows Task Scheduler hoặc tiện ích dòng lệnh schtasks, trừ khi được kiểm tra thủ công bằng cách điều hướng đến các đường dẫn trong Registry Editor.

“Các cuộc tấn công […] Các nhà nghiên cứu cho biết: “Các nhà nghiên cứu cho biết:”

.

Related Posts

Check Also

Chuyên gia chi tiết về lỗ hổng RCE mới ảnh hưởng đến kênh nhà phát triển của Google Chrome

Thông tin chi tiết đã xuất hiện về một lỗ hổng thực thi mã từ …