L'acteur chinois hafnium, parrainé par l'État, a été découvert en train d'utiliser un nouveau logiciel malveillant pour maintenir l'accès à un point de terminaison Windows piraté à l'aide de tâches planifiées cachées, a annoncé Microsoft.
L'équipe de détection et de réponse de Microsoft (DART) affirme que le groupe a exploité une vulnérabilité jusque-là inconnue (zero-day) dans ses attaques.
"L'enquête révèle des artefacts médico-légaux provenant de l'utilisation d'outils Impacket pour le mouvement latéral et l'exécution et la découverte d'un logiciel malveillant d'évasion de la défense appelé Tarrask qui crée des tâches planifiées "cachées" et des actions ultérieures pour supprimer les attributs de tâche, pour masquer les tâches programmées à partir des moyens d'identification traditionnels. DART a expliqué.
identifier les logiciels malveillants
Tarrask masque son activité à partir de "schtasks/query" et du planificateur de tâches, supprimant toutes les valeurs de registre du descripteur de sécurité.
Les criminels chinois ont utilisé ces tâches cachées pour rétablir la connexion avec C2 après le redémarrage de l'appareil.
L'un des moyens de trouver des tâches masquées consiste à inspecter manuellement le registre Windows pour les tâches planifiées sans valeur de descripteur de sécurité dans leur clé de tâche, expliquée plus en détail.
Une autre façon de détecter les logiciels malveillants consiste à activer les journaux Security.evtx et Microsoft-Windows-TaskScheduler/Operational.evtx et à rechercher les événements clés liés à toutes les tâches "cachées" utilisant Tarrask.
Le géant de Redmond a également recommandé d'activer la journalisation "TaskOperational" dans le registre Microsoft-Windows-TaskScheduler/Operational Task Scheduler et de surveiller les connexions sortantes des actifs critiques de niveau 0 et de niveau 1.
"Les acteurs de la menace dans cette campagne ont utilisé des tâches planifiées cachées pour maintenir l'accès aux actifs critiques exposés à Internet en rétablissant régulièrement les communications sortantes avec l'infrastructure C&C", explique DART.
"Nous reconnaissons que les tâches planifiées sont un outil efficace pour les adversaires pour automatiser certaines tâches tout en gagnant en persévérance, ce qui nous amène à sensibiliser à cette technique souvent négligée."
Dans la même annonce, Microsoft a également ajouté que Hafnium ciblait la vulnérabilité de contournement de l'authentification de l'API Zoho Manage Engine Rest, pour supprimer un shell Web Godzilla avec des propriétés similaires, que Unit42 a également découvertes précédemment.
Depuis août 2021, ajoute Microsoft, Hafnium cible les organisations des secteurs des télécommunications, des fournisseurs de services Internet et des services de données, concluant que le groupe a élargi son champ d'action.
Via: BleepingComputer