Nhóm hack Hafnium do Trung Quốc hậu thuẫn đã được liên kết với một phần của phần mềm độc hại mới được sử dụng để duy trì sự bền bỉ trên các môi trường Windows bị xâm phạm.
Kẻ đe dọa được cho là đã nhắm mục tiêu vào các thực thể trong lĩnh vực viễn thông, nhà cung cấp dịch vụ internet và dịch vụ dữ liệu từ tháng 8 năm 2021 đến tháng 2 năm 2022, mở rộng từ các mẫu nạn nhân ban đầu được quan sát thấy trong các cuộc tấn công khai thác lỗ hổng zero-day trong Máy chủ Microsoft Exchange vào tháng 3 Năm 2021.
Trung tâm Tình báo Đe dọa của Microsoft (MSTIC), nơi được mệnh danh là phần mềm độc hại né tránh phòng thủ “Tarrask“mô tả nó như một công cụ tạo ra các nhiệm vụ được lên lịch” ẩn “trên hệ thống.” Lạm dụng nhiệm vụ theo lịch trình là một phương pháp rất phổ biến để cố chấp và trốn tránh phòng thủ – và là một phương pháp hấp dẫn “, các nhà nghiên cứu cho biết.
Hafnium, trong khi đáng chú ý nhất đối với các cuộc tấn công Exchange Server, kể từ đó đã tận dụng các lỗ hổng zero-day chưa được vá làm vectơ ban đầu để thả các trình bao web và phần mềm độc hại khác, bao gồm cả Tarrask, tạo ra các khóa đăng ký mới trong hai đường dẫn Tree và Tasks khi tạo các tác vụ mới theo lịch trình –
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Schedule TaskCache Tree TASK_NAME HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Schedule TaskCache Tasks {GUID}
“Điều này dẫn đến việc tạo ra các khóa đăng ký và các giá trị được mô tả trong phần trước đó, tuy nhiên, tác nhân đe dọa đã xóa [Security Descriptor] giá trị bên trong đường dẫn đăng ký Cây. “Bộ mô tả bảo mật (còn gọi là SD) xác định các điều khiển truy cập để chạy tác vụ đã lên lịch.
Nhưng bằng cách xóa giá trị SD khỏi đường dẫn đăng ký Cây nói trên, nó có hiệu quả dẫn đến nhiệm vụ bị ẩn khỏi Windows Task Scheduler hoặc tiện ích dòng lệnh schtasks, trừ khi được kiểm tra thủ công bằng cách điều hướng đến các đường dẫn trong Registry Editor.
“Các cuộc tấn công […] Các nhà nghiên cứu cho biết: “Các nhà nghiên cứu cho biết:”
.
