El actor patrocinado por el estado chino hafnium fue descubierto utilizando un nuevo malware para mantener el acceso a un punto final de Windows pirateado mediante tareas programadas ocultas, anunció Microsoft.
El Equipo de Detección y Respuesta de Microsoft (DART) afirma que el grupo explotó una vulnerabilidad previamente desconocida (día cero) en sus ataques.
“La investigación revela artefactos forenses del uso de las herramientas de Impacket para el movimiento lateral y la ejecución y el descubrimiento de malware de evasión de defensa llamado Tarrask que crea tareas programadas “ocultas” y acciones posteriores para eliminar atributos de tareas, para ocultar tareas programadas de los medios tradicionales de identificación. DARDO explicó.
Identificar malware
Tarrask oculta su actividad de "schtasks/query" y del programador de tareas, eliminando cualquier valor de registro del descriptor de seguridad.
Los delincuentes chinos utilizaron estas tareas ocultas para restablecer la conexión con C2 después de reiniciar el dispositivo.
Una de las formas de encontrar tareas ocultas es inspeccionar manualmente el registro de Windows en busca de tareas programadas sin un valor de descriptor de seguridad en su clave de tarea, se explicó con más detalle.
Otra forma de detectar malware es habilitar los registros Security.evtx y Microsoft-Windows-TaskScheduler/Operational.evtx y buscar eventos clave, relacionados con cualquier tarea "oculta" usando Tarrask.
El gigante de Redmond también recomendó habilitar el registro de "TaskOperational" en el registro de Microsoft-Windows-TaskScheduler/Operational Task Scheduler y controlar las conexiones salientes de los activos críticos de nivel 0 y nivel 1.
“Los actores de amenazas en esta campaña utilizaron tareas programadas ocultas para mantener el acceso a los activos críticos expuestos a Internet mediante el restablecimiento regular de las comunicaciones salientes con la infraestructura de C&C”, explica DART.
"Reconocemos que las tareas programadas son una herramienta eficaz para que los adversarios automaticen ciertas tareas mientras ganan persistencia, lo que nos lleva a crear conciencia sobre esta técnica que a menudo se pasa por alto".
En el mismo anuncio, Microsoft también agregó que Hafnium está apuntando a la vulnerabilidad de omisión de autenticación de Zoho Manage Engine Rest API, para colocar un shell web de Godzilla con propiedades similares, que Unit42 también descubrió anteriormente.
Desde agosto de 2021, agrega Microsoft, Hafnium ha estado apuntando a organizaciones en las industrias de telecomunicaciones, proveedores de servicios de Internet y servicios de datos, y concluyó que el grupo ha ampliado su enfoque.
Vía: BleepingComputer