微软Windows受到Hafnium恶意软件"Tarrask"的集团化攻击
source link: https://netsecurity.51cto.com/article/706406.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了。但这一次,微软清楚地知道这个国家支持的威胁行为者团体的活动意图,该组织正在利用"Tarrask"恶意软件来瞄准并不断削弱Windows操作系统的防御能力。
微软检测和响应小组(DART)在一篇博文中解释说,Hafnium集团正在利用Tarrask这种"防御规避恶意软件"来规避Windows的防御,并确保被破坏的环境保持脆弱。
随着微软继续追踪高优先级的国家支持的威胁行为者HAFNIUM,我们发现了新的活动,利用未修补的零日漏洞作为初始载体。进一步的调查显示了使用Impacket工具执行取证,并发现了一个名为Tarrask的防御规避恶意软件,它创建了"隐藏"的计划任务,并随后采取行动删除任务属性,以掩盖计划任务的传统识别手段。
微软正在积极跟踪Hafnium的活动,并意识到该组织正在利用Windows子系统内的新的漏洞。该组织显然是利用了一个以前未知的Windows漏洞,将恶意软件隐藏在"schtasks /query"和任务调度程序中。
该恶意软件通过删除相关的安全描述符注册表值成功地逃避了检测。简单地说,一个尚未打补丁的Windows任务调度程序错误正在帮助恶意软件清理其踪迹,并确保其磁盘上的恶意软件有效残余尽可能地不显示出相关性,展示出潜伏能力与迷惑性。其结果是,该组织似乎正在使用"隐藏的"计划任务,即使在多次重启后也能保留对被入侵设备的访问。与任何恶意软件一样,即使是Tarrask也会重新建立与指挥和控制(C2)基础设施的中断连接。
微软的DART不仅发出了警告,而且还建议在Microsoft-Windows-TaskScheduler/Operational Task Scheduler日志中启用"TaskOperational"的日志。这有助于管理员从关键的资产中寻找可疑的出站连接。
了解更多:https://www.microsoft.com/security/blog/2022/04/12/tarrask-malware-uses-scheduled-tasks-for-defense-evasion/
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK