Çin destekli Hafnium korsan grubu, güvenliği ihlal edilmiş Windows ortamlarında kalıcılığı korumak için kullanılan yeni bir kötü amaçlı yazılım parçasıyla ilişkilendirildi.
Tehdit aktörünün, Ağustos 2021’den Şubat 2022’ye kadar telekomünikasyon, internet servis sağlayıcısı ve veri hizmetleri sektörlerindeki varlıkları hedeflediği ve Mart ayında Microsoft Exchange Sunucularındaki sıfırıncı gün kusurlarından yararlanan saldırıları sırasında gözlemlenen ilk kurbanlık kalıplarından genişlediği söyleniyor. 2021.
Savunmadan kaçınma kötü amaçlı yazılımı olarak adlandırılan Microsoft Tehdit İstihbarat Merkezi (MSTIC) “Tarrask,” onu sistem üzerinde “gizli” zamanlanmış görevler oluşturan bir araç olarak nitelendirdi. Araştırmacılar, “Zamanlanmış görev kötüye kullanımı, ısrar ve savunmadan kaçınmanın çok yaygın bir yöntemidir – ve bu açıdan da cezbedicidir” dedim.
Hafnium, Exchange Server saldırılarında en çok dikkat çekeni olsa da, o zamandan beri web kabuklarını ve diğer kötü amaçlı yazılımları düşürmek için ilk vektörler olarak yama uygulanmamış sıfır gün güvenlik açıklarından yararlandı. –
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTreeTASK_NAME
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasksGUID
Araştırmacılar, “Bu senaryoda, tehdit aktörü, komuta ve kontrol (C&C) altyapılarına bırakılan bağlantıları yeniden kurmak için HackTool:Win64/Tarrask aracılığıyla ‘WinUpdate’ adlı zamanlanmış bir görev oluşturdu” dedi.
“Bu, önceki bölümde açıklanan kayıt defteri anahtarlarının ve değerlerinin oluşturulmasına neden oldu, ancak tehdit aktörü [Security Descriptor] Ağaç kayıt yolu içindeki değer.” Bir güvenlik tanımlayıcısı (diğer adıyla SD) zamanlanmış görevi çalıştırmak için erişim kontrollerini tanımlar.
Ancak, yukarıda bahsedilen Ağaç kayıt yolundan SD değerini silerek, etkin bir şekilde Windows Görev Zamanlayıcı’dan gizlenen göreve veya schtasklar Komut satırı yardımcı programı, Kayıt Defteri Düzenleyicisi’ndeki yollara gidilerek manuel olarak incelenmedikçe.
“Saldırılar […] Araştırmacılar, tehdit aktörü Hafnium’un Windows alt sistemini nasıl benzersiz bir şekilde anladığını ve bu uzmanlığı, etkilenen sistemlerde kalıcılığı sürdürmek ve açıkça gizlenmek için hedeflenen uç noktalardaki faaliyetleri maskelemek için nasıl kullandığını gösteriyor” dedi.