Le tristement célèbre groupe de pirates Hafnium qui a fait des ravages sur les serveurs Microsoft Exchange est de retour. Mais cette fois, Microsoft est bien au courant des activités d’un groupe d’attaquants parrainé par l’État. La société est consciente que le groupe utilise le malware Tarrask pour cibler et affaiblir progressivement la protection du système d’exploitation Windows.
Le groupe Hafnium utilise Tarrask, un « malware d’évasion de la sécurité », pour contourner la sécurité de Windows et exposer les environnements compromis à la vulnérabilité, a expliqué Microsoft. Detection and Response Team (DART) dans un article de blog :
Alors que Microsoft continue de surveiller la menace hautement prioritaire HAFNIUM parrainée par l’État, une nouvelle activité a été découverte qui utilise des vulnérabilités zero-day non corrigées comme vecteurs de départ. Une enquête plus approfondie révèle des artefacts médico-légaux de l’utilisation par Impacket des outils de mouvement latéral et d’exécution, ainsi que la détection d’un logiciel malveillant évasif appelé Tarrask qui crée des tâches planifiées « cachées » et des suivis pour supprimer les attributs de tâche afin de masquer les tâches planifiées des tâches traditionnelles. moyen d’identification.
Microsoft surveille activement les activités d’Hafnium et sait que le groupe utilise de nouveaux exploits dans le sous-système Windows. Le groupe semble utiliser un bogue Windows jusqu’alors inconnu pour masquer les logiciels malveillants de « schtasks/query » et du planificateur de tâches.
Le logiciel malveillant échappe avec succès à la détection en supprimant le paramètre de registre de descripteur de sécurité correspondant. En termes simples, le bogue du planificateur de tâches Windows qui n’a pas encore été corrigé aide les logiciels malveillants à nettoyer ses traces et à s’assurer que ses artefacts de disque (restes d’action) ne révèlent pas ce qui se passe.
Mis à part le jargon technique, le groupe semble utiliser des tâches planifiées « cachées » pour garder les appareils compromis accessibles même après plusieurs redémarrages. Comme pour tout logiciel malveillant, même Tarrask rétablit les connexions interrompues à l’infrastructure de commande et de contrôle (C2).
Le DART de Microsoft a non seulement émis un avertissement , mais a également recommandé que la journalisation soit activée pour TaskOperational dans le journal Microsoft-Windows-TaskScheduler/Operational Task Scheduler. Cela devrait aider les administrateurs à identifier les connexions sortantes suspectes à partir des ressources critiques de niveau 0 et de niveau 1 .
Laisser un commentaire