MicrosoftExchangeサーバーに大混乱をもたらした悪名高いHafniumハッカーグループが帰ってきました。しかし今回、マイクロソフトは国が後援する攻撃者のグループの活動をよく知っています。同社は、グループがTarraskマルウェアを使用して、Windowsオペレーティングシステムの保護を標的にし、徐々に弱体化させていることを認識しています。
ハフニウムグループは、Windowsのセキュリティを回避し、侵害された環境を脆弱性にさらすために、「セキュリティ回避マルウェア」であるTarraskを使用しているとMicrosoftは説明しました。ブログ投稿の検出および応答チーム(DART):
マイクロソフトが引き続き優先度の高い国が後援するHAFNIUMの脅威を監視しているため、パッチが適用されていないゼロデイ脆弱性をシードベクトルとして使用する新しいアクティビティが発見されました。さらなる調査により、Impacketによる横方向の移動および実行ツールの使用のフォレンジックアーティファクト、および「非表示」のスケジュールされたタスクを作成するTarraskと呼ばれる回避マルウェアの検出と、タスク属性を削除して従来のタスクからスケジュールされたタスクを非表示にするフォローアップが明らかになりました。識別の手段。
MicrosoftはHafniumの活動を積極的に監視しており、グループがWindowsサブシステムで新しいエクスプロイトを使用していることを認識しています。このグループは、これまで知られていなかったWindowsのバグを使用して、マルウェアを「schtasks/query」とタスクスケジューラから隠しているようです。
マルウェアは、対応するセキュリティ記述子レジストリ設定を削除することにより、検出を正常に回避します。簡単に言えば、まだ修正されていないWindowsタスクスケジューラのバグは、マルウェアがそのトラックをクリーンアップし、ディスクアーティファクト(アクションの残り物)が何が起こっているのかを明らかにしないようにするのに役立ちます。
技術的な専門用語はさておき、グループは「隠された」スケジュールされたタスクを使用して、何度も再起動した後でも、侵害されたデバイスにアクセスできるようにしています。他のマルウェアと同様に、Tarraskでさえ、コマンドアンドコントロール(C2)インフラストラクチャへの切断された接続を再確立します。
MicrosoftのDARTは警告を発行しただけでなく、Microsoft-Windows-TaskScheduler / OperationalTaskSchedulerログでTaskOperationalのログを有効にすることを推奨しました。これは、管理者がTier0およびTier1の重要なリソースからの疑わしいアウトバウンド接続を特定するのに役立ちます。
コメントを残す