對微軟Exchange服務器造成嚴重破壞的臭名昭著的Hafnium黑客組織回來了。但這一次,微軟清楚地知道這個國家支持的威脅行為者團體的活動意圖,該組織正在利用”Tarrask”惡意軟件來瞄準並不斷削弱Windows操作系統的防禦能力。
微軟檢測和響應小組(DART)在一篇博文中解釋說,Hafnium集團正在利用Tarrask這種”防禦規避惡意軟件”來規避Windows的防禦,並確保被破壞的環境保持脆弱。
隨着微軟繼續追蹤高優先級的國家支持的威脅行為者HAFNIUM,我們發現了新的活動,利用未修補的零日漏洞作為初始載體。進一步的調查顯示了使用Impacket工具執行取證,並發現了一個名為Tarrask的防禦規避惡意軟件,它創建了”隱藏”的計劃任務,並隨後採取行動刪除任務屬性,以掩蓋計劃任務的傳統識別手段。
微軟正在積極跟蹤Hafnium的活動,並意識到該組織正在利用Windows子系統內的新的漏洞。該組織顯然是利用了一個以前未知的Windows漏洞,將惡意軟件隱藏在”schtasks /query”和任務調度程序中。
該惡意軟件通過刪除相關的安全描述符註冊表值成功地逃避了檢測。簡單地說,一個尚未打補丁的Windows任務調度程序錯誤正在幫助惡意軟件清理其蹤跡,並確保其磁盤上的惡意軟件有效殘餘儘可能地不顯示出相關性,展示出潛伏能力與迷惑性。其結果是,該組織似乎正在使用”隱藏的”計劃任務,即使在多次重啟后也能保留對被入侵設備的訪問。與任何惡意軟件一樣,即使是Tarrask也會重新建立與指揮和控制(C2)基礎設施的中斷連接。
微軟的DART不僅發出了警告,而且還建議在Microsoft-Windows-TaskScheduler/Operational Task Scheduler日誌中啟用”TaskOperational”的日誌。這有助於管理員從關鍵的資產中尋找可疑的出站連接。
了解更多:
https://www.microsoft.com/security/blog/2022/04/12/tarrask-malware-uses-scheduled-tasks-for-defense-evasion/