El grupo de pirater\u00eda Hafnium, respaldado por China, ha sido vinculado a una parte de un nuevo malware que se utiliza para mantener la persistencia en entornos de Windows comprometidos.<\/p>\n
Se dice que el actor de amenazas apunt\u00f3 a entidades en los sectores de telecomunicaciones, proveedores de servicios de Internet y servicios de datos desde agosto de 2021 hasta febrero de 2022, expandi\u00e9ndose desde los patrones de victimolog\u00eda iniciales observados durante sus ataques que explotaban las fallas de d\u00eda cero en los servidores de Microsoft Exchange en marzo. 2021.<\/p>\n
Microsoft Threat Intelligence Center (MSTIC), que denomin\u00f3 malware de evasi\u00f3n de defensa “Tarrasco<\/strong>“, lo caracteriz\u00f3 como una herramienta que crea tareas programadas “ocultas” en el sistema. “El abuso de tareas programadas es un m\u00e9todo muy com\u00fan de persistencia y evasi\u00f3n de defensa, y uno atractivo, adem\u00e1s”, los investigadores dicho<\/a>.<\/p>\n Hafnium, aunque es m\u00e1s notable por los ataques a Exchange Server, desde entonces ha aprovechado las vulnerabilidades de d\u00eda cero sin parches como vectores iniciales para lanzar shells web y otro malware, incluido Tarrask, que crea nuevas claves de registro dentro de dos rutas Tree y Tasks al crear nuevas tareas programadas. –<\/p>\n “En este escenario, el actor de amenazas cre\u00f3 una tarea programada llamada ‘WinUpdate’ a trav\u00e9s de HackTool:Win64\/Tarrask para restablecer cualquier conexi\u00f3n interrumpida a su infraestructura de comando y control (C&C)”, dijeron los investigadores.<\/p>\n “Esto result\u00f3 en la creaci\u00f3n de las claves de registro y los valores descritos en la secci\u00f3n anterior, sin embargo, el actor de amenazas elimin\u00f3 el [Security Descriptor] valor dentro de la ruta de registro del \u00e1rbol”. Un descriptor de seguridad (tambi\u00e9n conocido como Dakota del Sur<\/a>) define los controles de acceso para ejecutar la tarea programada.<\/p>\n Pero al borrar el valor SD de la ruta de registro del \u00e1rbol antes mencionado, conduce efectivamente a la tarea oculta del Programador de tareas de Windows o el tareas<\/a> utilidad de l\u00ednea de comandos, a menos que se examine manualmente navegando a las rutas en el Editor del Registro.<\/p>\n “Los ataques […] significan c\u00f3mo el actor de amenazas Hafnium muestra una comprensi\u00f3n \u00fanica del subsistema de Windows y utiliza esta experiencia para enmascarar actividades en puntos finales espec\u00edficos para mantener la persistencia en los sistemas afectados y ocultarse a plena vista”, dijeron los investigadores.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Notorious-Trickbot-Malware-Gang-cierra-su-infraestructura-de-botnet.png\")
<\/a><\/div>\n\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1649872614_302_Microsoft-expone-el-malware-evasivo-chino-Tarrask-que-ataca-las.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n