Microsoft, Çin devlet destekli tehdit aktörü Hafnium’un, gizli zamanlanmış görevlerin yardımıyla, ihlal edilmiş bir Windows uç noktasına erişimi sürdürmek için yepyeni bir kötü amaçlı yazılım kullandığının tespit edildiğini duyurdu.
Microsoft Algılama ve Yanıt Ekibi (DART), grubun saldırılarında şimdiye kadar bilinmeyen bir güvenlik açığından (sıfır gün) yararlandığını söylüyor.
“Soruşturma, yanal hareket ve yürütme için Impacket araçlarının kullanımının adli eserlerini ve ‘gizli’ zamanlanmış görevler oluşturan Tarrask adlı bir savunma kaçırma kötü amaçlı yazılımının keşfini ve görev niteliklerini kaldırmak, zamanlanmış görevleri geleneksel görevlerden gizlemek için sonraki eylemleri ortaya koyuyor. tanımlama araçları,” diye açıkladı DART.
Kötü amaçlı yazılımı tespit etme
Tarrask, herhangi bir Güvenlik Tanımlayıcı kayıt defteri değerini silerek etkinliğini “schtasks / sorgu” ve Görev Zamanlayıcı’dan gizler.
Çinli suçlular, cihaz yeniden başlatıldıktan sonra C2 ile bağlantıyı yeniden kurmak için bu gizli görevleri kullanıyorlar.
Gizli görevleri bulmanın yollarından biri, Görev Anahtarlarında Güvenlik Tanımlayıcı Değeri olmayan zamanlanmış görevler için Windows Kayıt Defteri’ni manuel olarak incelemektir, ayrıca açıklanmıştır.
Kötü amaçlı yazılımı tespit etmenin başka bir yolu, Security.evtx ve Microsoft-Windows-TaskScheduler/Operational.evtx günlüklerini etkinleştirmek ve Tarrask kullanılarak “gizlenen” herhangi bir görevle bağlantılı olarak önemli olayları aramaktır.
Redmond devi ayrıca Microsoft-Windows-TaskScheduler/Operational Task Scheduler günlüğünde ‘TaskOperational’ için günlük kaydının etkinleştirilmesini ve kritik Katman 0 ve Katman 1 varlıklarından giden bağlantılara dikkat edilmesini önerdi.
DART, “Bu kampanyadaki tehdit aktörleri, C&C altyapısıyla giden iletişimleri düzenli olarak yeniden kurarak internete maruz kalan kritik varlıklara erişimi sürdürmek için gizli zamanlanmış görevleri kullandılar” diyor.
“Zamanlanmış görevlerin, sürekliliği sağlarken belirli görevleri otomatikleştirmek için rakipler için etkili bir araç olduğunun farkındayız, bu da bizi bu genellikle gözden kaçan teknik hakkında farkındalığı artırmaya getiriyor.”
Aynı duyuruda Microsoft, Hafnium’un, Unit42’nin daha önce keşfettiği benzer özelliklere sahip bir Godzilla web kabuğu yerleştirmek için Zoho Manage Engine Rest API kimlik doğrulamasını atlama güvenlik açığını hedeflediğini de ekledi.
Microsoft, Ağustos 2021’den bu yana Hafnium’un telekomünikasyon, internet servis sağlayıcısı ve veri hizmetleri sektörlerindeki kuruluşları hedeflediğini ve grubun ilgi alanını genişlettiği sonucuna vardığını ekliyor.
Aracılığıyla: BleeBilgisayar