Хакерская группа Hafnium, устроившая хаос на серверах Microsoft Exchange, вернулась. Microsoft известно, что группа использует вредоносное ПО Tarrask для целенаправленного воздействия и последовательного ослабления защиты операционной системы Windows.
Группа Hafnium использует Tarrask, «вредоносное ПО для уклонения от защиты», чтобы обойти защиту Windows и обеспечить уязвимость скомпрометированных сред, объяснила группа обнаружения и реагирования Microsoft (DART) в своем блоге:
Поскольку Microsoft продолжает отслеживать высокоприоритетную угрозу HAFNIUM, была обнаружена новая активность, которая использует неисправленные уязвимости нулевого дня в качестве начальных векторов. Дальнейшее расследование выявляет артефакты использования инструментов Impacket для бокового перемещения и выполнения, а также обнаружение вредоносного ПО для уклонения от защиты под названием Tarrask, которое создает «скрытые» запланированные задачи и последующие действия по удалению атрибутов задачи, чтобы скрыть запланированные задачи от традиционных средства идентификации.
Microsoft активно отслеживает деятельность Hafnium и знает, что группа использует новые эксплойты в подсистеме Windows. Группа, по-видимому, использует ранее неизвестную ошибку Windows, чтобы скрыть вредоносное ПО от «schtasks/query» и планировщика заданий.
Вредоносная программа успешно избегает обнаружения, удаляя соответствующий параметр реестра Security Descriptor. Проще говоря, еще не исправленная ошибка планировщика заданий Windows помогает вредоносным программам расчищать свои следы и следить за тем, чтобы их артефакты на диске (остатки действий) не раскрывали, что происходит.
Помимо технического жаргона, группа, похоже, использует «скрытые» запланированные задачи, чтобы сохранить доступ к скомпрометированным устройствам даже после нескольких перезагрузок. Как и в случае любого вредоносного ПО, даже Tarrask восстанавливает разорванные соединения с инфраструктурой управления и контроля (C2).
DART от Microsoft не только выдал предупреждение, но и рекомендовал включить ведение журнала для TaskOperational в журнале Microsoft-Windows-TaskScheduler/Operational Task Scheduler. Это должно помочь администраторам выявлять подозрительные исходящие подключения от критически важных ресурсов уровня 0 и уровня 1.
