Корпорація Майкрософт виявила нове зловмисне програмне забезпечення, яке використовується хакерською групою Hafnium. Це програмне забезпечення використовує для атаки незакриті вразливості нульового дня як початкові вектори. У Microsoft розповіли, як захиститися до виходу патчів.
Група Hafnium підтримується Китаєм і раніше була націлена на американські оборонні компанії, аналітичні центри та кібер дослідників. Це також одна з груп, яку у Microsoft пов’язують з минулорічним глобальним використанням вразливостей нульового дня ProxyLogon, які впливають на всі підтримувані версії Microsoft Exchange.
«Оскільки Microsoft продовжує відстежувати високопріоритетну загрозу HAFNIUM, було виявлено нову діяльність, яка використовує невиправлені вразливості нульового дня як початкові вектори, – заявила команда Microsoft Detection and Response Team (DART). – Подальше розслідування виявляє зловмисне програмне забезпечення для маскування під назвою Tarrask, яке створює «приховані» заплановані завдання, а також подальші дії щодо видалення атрибутів завдання, щоб приховати заплановані завдання від традиційні засоби ідентифікації».
Цей інструмент злому Tarrask використовує раніше невідому помилку Windows, щоб приховати їх від команди schtasks /query і планувальника завдань, видаливши пов’язане значення реєстру Security Descriptor.
Група використовувала ці «приховані» заплановані завдання, щоб підтримувати доступ до зламаних пристроїв навіть після перезавантаження, відновлюючи зірвані з’єднання з інфраструктурою командно-контрольного управління (C2).
«Приховані» завдання можна знайти лише після ретельної перевірки реєстру Windows вручну, шукаючи заплановані завдання без значення SD (дескриптор безпеки) у ключі завдання.
Адміністратори також можуть увімкнути журнали Security.evtx та Microsoft-Windows-TaskScheduler/Operational.evtx для перевірки ключових подій, пов’язаних із завданнями, «прихованими» за допомогою шкідливого програмного забезпечення Tarrask.
Корпорація Майкрософт також рекомендує ввімкнути ведення журналу для «TaskOperational» у журналі Microsoft-Windows-TaskScheduler/Operational Task Scheduler і моніторинг вихідних з’єднань з критичних ресурсів Tier 0 і Tier 1.