Microsoft обнаружила новое вредоносное ПО, используемое хакерской группой Hafnium для поддержания устойчивости на скомпрометированных системах Windows путем создания и скрытия запланированных задач.
Ранее хакеры группировки Hafnium, которые, как считают специалисты, работают на катайское правительство, атаковали американские оборонные компании, аналитические центры, а так же экспертов в области кибербезопасности с целью шпионажа.
Специалисты считают что эта же преступная группа использовала уязвимость нулевого дня ProxyLogon (0-day), для атаки на почтовые серверы Microsoft Exchange.
Сохранение при удалении значений реестра Windows
«Поскольку Microsoft продолжает отслеживать высокоприоритетного государственного субъекта угроз HAFNIUM, была обнаружена новая деятельность, которая использует неисправленные уязвимости нулевого дня в качестве первоначальных векторов», — говорится в сообщении Группы обнаружения и реагирования Microsoft (DART).
«Дальнейшее рсследование выявило криминалистические артефакты использования инструментов Impacket для бокового перемещения и выполнения и обнаружения вредоносного ПО для уклонения от защиты под названием Tarrask, которое создает «скрытые» запланированные задачи и последующие действия по удалению атрибутов задачи, чтобы скрыть запланированные задачи от традиционных средств идентификации».
Этот хакерский инструмент, получивший название Tarrask, использует ранее неизвестную ошибку Windows, чтобы скрыть их от «schtasks /query» и планировщика заданий, удалив связанное значение реестра Security Descriptor.
Хакерская группировка использовала эти «скрытые» запланированные задачи для поддержания доступа к взломанным устройствам даже после перезагрузки путем восстановления сброшенных соединений с командно-контрольной инфраструктурой (C2).
Операторы Hafnium могли бы удалить все артефакты на диске, включая все разделы реестра и XML-файл, добавленный в системную папку, чтобы удалить все следы их вредоносной активности. Однако эти действия не позволили бы злоумышленникам сохранить доступ к устройству после перезагрузки.
Как защититься от атак Тарраска
«Скрытые» задачи могут быть найдены только при внимательном и кропотливом "ручном" просмотре реестра Windows, если искать запланированные задачи без значения SD (дескриптора безопасности) в их ключах.
Администраторы также могут включить журналы Security.evtx и Microsoft-Windows-TaskScheduler/Operational.evtx для проверки ключевых событий, связанных с задачами, «скрытыми» с помощью вредоносного ПО Tarrask.
Microsoft также рекомендует включить ведение журнала для TaskOperational в журнале Microsoft-Windows-TaskScheduler/Operational Task Scheduler и мониторинг исходящих подключений из критически важных ресурсов уровней 0 и 1.
«Злоумышленники в этой кампании использовали скрытые запланированные задачи для поддержания доступа к критически важным активам, доступным через Интернет, путем регулярного восстановления исходящей связи с инфраструктурой C & C», — добавил DART.
«Мы признаем, что запланированные задачи являются эффективным инструментом для противников, чтобы автоматизировать определенные задачи, достигая при этом настойчивости, что приводит нас к повышению осведомленности об этой часто упускаемой из виду технике».