На этот раз тревога связана с Tarrask, "вредоносной программой для уклонения от защиты", которая использует планировщик задач Windows для сокрытия от пользователя скомпрометированного состояния устройства.
Атака исходит от Hafnium, спонсируемой государством китайской группировки, которая, стала известна, благодаря своему участию в крахе Microsoft Exchange в 2021 году.
В настоящее время Microsoft отслеживает деятельность Hafnium, когда речь идет о новых эксплойтах подсистемы Windows. Hafnium использует вредоносное ПО Tarrask для обеспечения того, чтобы взломанные ПК оставались уязвимыми, используя ошибку планировщика задач Windows для очистки следов и обеспечения того, чтобы артефакты деятельности Tarrask на диске не оставались и не раскрывали происходящее.
У Microsoft есть общие рекомендации по борьбе с Tarrask. Рекомендации по противодействию кибербезопасности в данном случае включают изменение политик аудита, проверку запланированных задач без значений SD (дескриптора безопасности) и многое другое.
