Воскресенье, 22 декабря, 2024

Windows атакуют через только что открытую уязвимость «нулевого дня»

Корпорация Майкрософт обнаружила новое вредоносное программное обеспечение, используемое хакерской группой Hafnium. Это программное обеспечение использует для атаки незакрытые уязвимости нулевого дня в качестве начальных векторов. В Microsoft рассказали, как защититься к выходу патчей.

Группа Hafnium поддерживается Китаем и была нацелена на американские оборонные компании, аналитические центры и кибер исследователей. Это также одна из групп, которую в Microsoft связывают с прошлогодним глобальным использованием уязвимостей нулевого дня ProxyLogon, влияющих на все поддерживаемые версии Microsoft Exchange.

«Поскольку Microsoft продолжает отслеживать высокоприоритетную угрозу HAFNIUM, была обнаружена новая деятельность, использующая неисправленные уязвимости нулевого дня в качестве начальных векторов, – заявила команда Microsoft Detection and Response Team (DART). — Дальнейшее расследование выявляет вредоносное ПО для маскировки под названием Tarrask, которое создает «скрытые» запланированные задания, а также дальнейшие действия по удалению атрибутов задания, чтобы скрыть запланированные задания от традиционных средств идентификации».

Этот инструмент взлома Tarrask использует ранее неизвестную ошибку Windows, чтобы скрыть их от команды schtasks /query и планировщика задач, удалив связанное значение реестра Security Descriptor.Группа использовала эти «скрытые» запланированные задачи, чтобы поддерживать доступ к сломанным устройствам даже после перезагрузки, восстанавливая сорванные соединения с инфраструктурой командно-контрольного управления (C2).

«Скрытые» задачи можно найти только после тщательной проверки реестра Windows вручную, ища запланированные задачи без значения SD (дескриптор безопасности) в ключе задачи.

Администраторы также могут включить журналы Security.evtx и Microsoft-Windows-TaskScheduler/Operational.evtx для проверки ключевых событий, связанных с задачами, «скрытыми» с помощью вредоносного программного обеспечения Tarrask.

Корпорация Майкрософт также рекомендует включить ведение журнала для TaskOperational в журнале Microsoft-Windows-TaskScheduler/Operational Task Scheduler и мониторинг исходящих соединений с критических ресурсов Tier 0 и Tier 1.

Євген
Євген
Евгений пишет для TechToday с 2012 года. По образованию инженер,. Увлекается реставрацией старых автомобилей.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися