El grupo de piratería Hafnium, respaldado por China, ha sido vinculado a una parte de un nuevo malware que se utiliza para mantener la persistencia en entornos de Windows comprometidos.
Se dice que el actor de amenazas apuntó a entidades en los sectores de telecomunicaciones, proveedores de servicios de Internet y servicios de datos desde agosto de 2021 hasta febrero de 2022, expandiéndose desde los patrones de victimología iniciales observados durante sus ataques que explotaban las fallas de día cero en los servidores de Microsoft Exchange en marzo. 2021.
Microsoft Threat Intelligence Center (MSTIC), que denominó malware de evasión de defensa «Tarrasco«, lo caracterizó como una herramienta que crea tareas programadas «ocultas» en el sistema. «El abuso de tareas programadas es un método muy común de persistencia y evasión de defensa, y uno atractivo, además», los investigadores dicho.
Hafnium, aunque es más notable por los ataques a Exchange Server, desde entonces ha aprovechado las vulnerabilidades de día cero sin parches como vectores iniciales para lanzar shells web y otro malware, incluido Tarrask, que crea nuevas claves de registro dentro de dos rutas Tree y Tasks al crear nuevas tareas programadas. –
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTreeTASK_NAME
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasksGUID
«En este escenario, el actor de amenazas creó una tarea programada llamada ‘WinUpdate’ a través de HackTool:Win64/Tarrask para restablecer cualquier conexión interrumpida a su infraestructura de comando y control (C&C)», dijeron los investigadores.
«Esto resultó en la creación de las claves de registro y los valores descritos en la sección anterior, sin embargo, el actor de amenazas eliminó el [Security Descriptor] valor dentro de la ruta de registro del árbol». Un descriptor de seguridad (también conocido como Dakota del Sur) define los controles de acceso para ejecutar la tarea programada.
Pero al borrar el valor SD de la ruta de registro del árbol antes mencionado, conduce efectivamente a la tarea oculta del Programador de tareas de Windows o el tareas utilidad de línea de comandos, a menos que se examine manualmente navegando a las rutas en el Editor del Registro.
«Los ataques […] significan cómo el actor de amenazas Hafnium muestra una comprensión única del subsistema de Windows y utiliza esta experiencia para enmascarar actividades en puntos finales específicos para mantener la persistencia en los sistemas afectados y ocultarse a plena vista», dijeron los investigadores.