Корпорация Майкрософт обнаружила новое вредоносное программное обеспечение, используемое хакерской группой Hafnium. Это программное обеспечение использует для атаки незакрытые уязвимости нулевого дня в качестве начальных векторов. В Microsoft рассказали, как защититься к выходу патчей.
Группа Hafnium поддерживается Китаем и была нацелена на американские оборонные компании, аналитические центры и кибер исследователей. Это также одна из групп, которую в Microsoft связывают с прошлогодним глобальным использованием уязвимостей нулевого дня ProxyLogon, влияющих на все поддерживаемые версии Microsoft Exchange.
«Поскольку Microsoft продолжает отслеживать высокоприоритетную угрозу HAFNIUM, была обнаружена новая деятельность, использующая неисправленные уязвимости нулевого дня в качестве начальных векторов, – заявила команда Microsoft Detection and Response Team (DART). — Дальнейшее расследование выявляет вредоносное ПО для маскировки под названием Tarrask, которое создает «скрытые» запланированные задания, а также дальнейшие действия по удалению атрибутов задания, чтобы скрыть запланированные задания от традиционных средств идентификации».
Этот инструмент взлома Tarrask использует ранее неизвестную ошибку Windows, чтобы скрыть их от команды schtasks /query и планировщика задач, удалив связанное значение реестра Security Descriptor.Группа использовала эти «скрытые» запланированные задачи, чтобы поддерживать доступ к сломанным устройствам даже после перезагрузки, восстанавливая сорванные соединения с инфраструктурой командно-контрольного управления (C2).
«Скрытые» задачи можно найти только после тщательной проверки реестра Windows вручную, ища запланированные задачи без значения SD (дескриптор безопасности) в ключе задачи.
Администраторы также могут включить журналы Security.evtx и Microsoft-Windows-TaskScheduler/Operational.evtx для проверки ключевых событий, связанных с задачами, «скрытыми» с помощью вредоносного программного обеспечения Tarrask.
Корпорация Майкрософт также рекомендует включить ведение журнала для TaskOperational в журнале Microsoft-Windows-TaskScheduler/Operational Task Scheduler и мониторинг исходящих соединений с критических ресурсов Tier 0 и Tier 1.
