Le groupe de piratage Hafnium, soutenu par la Chine, a \u00e9t\u00e9 li\u00e9 \u00e0 un nouveau malware utilis\u00e9 pour maintenir la persistance dans les environnements Windows compromis.<\/p>\n
L’acteur de la menace aurait cibl\u00e9 des entit\u00e9s dans les secteurs des t\u00e9l\u00e9communications, des fournisseurs de services Internet et des services de donn\u00e9es d’ao\u00fbt 2021 \u00e0 f\u00e9vrier 2022, s’\u00e9tendant \u00e0 partir des mod\u00e8les de victimologie initiaux observ\u00e9s lors de ses attaques exploitant les failles zero-day des serveurs Microsoft Exchange en mars. 2021.<\/p>\n
Microsoft Threat Intelligence Center (MSTIC), qui a surnomm\u00e9 le malware d’\u00e9vasion de la d\u00e9fense “Tarrask<\/strong>“, l’a caract\u00e9ris\u00e9 comme un outil qui cr\u00e9e des t\u00e2ches planifi\u00e9es “cach\u00e9es” sur le syst\u00e8me. “L’abus de t\u00e2ches planifi\u00e9es est une m\u00e9thode tr\u00e8s courante de persistance et d’\u00e9vasion de la d\u00e9fense – et s\u00e9duisante, en plus”, ont d\u00e9clar\u00e9 les chercheurs. mentionn\u00e9<\/a>.<\/p>\n Hafnium, bien que le plus connu pour les attaques Exchange Server, a depuis exploit\u00e9 les vuln\u00e9rabilit\u00e9s zero-day non corrig\u00e9es comme vecteurs initiaux pour supprimer les shells Web et autres logiciels malveillants, y compris Tarrask, qui cr\u00e9e de nouvelles cl\u00e9s de registre dans deux chemins Tree et Tasks lors de la cr\u00e9ation de nouvelles t\u00e2ches planifi\u00e9es. –<\/p>\n “Dans ce sc\u00e9nario, l’acteur de la menace a cr\u00e9\u00e9 une t\u00e2che planifi\u00e9e nomm\u00e9e” WinUpdate “via HackTool:Win64\/Tarrask afin de r\u00e9tablir toute connexion interrompue \u00e0 son infrastructure de commande et de contr\u00f4le (C&C)”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n “Cela a entra\u00een\u00e9 la cr\u00e9ation des cl\u00e9s de registre et des valeurs d\u00e9crites dans la section pr\u00e9c\u00e9dente, cependant, l’auteur de la menace a supprim\u00e9 le [Security Descriptor] valeur dans le chemin de registre de l’arborescence.” Un descripteur de s\u00e9curit\u00e9 (alias Dakota du Sud<\/a>) d\u00e9finit les contr\u00f4les d’acc\u00e8s pour l’ex\u00e9cution de la t\u00e2che planifi\u00e9e.<\/p>\n Mais en effa\u00e7ant la valeur SD du chemin de registre Tree susmentionn\u00e9, cela conduit effectivement \u00e0 la t\u00e2che masqu\u00e9e du planificateur de t\u00e2ches Windows ou du schtasks<\/a> utilitaire de ligne de commande, \u00e0 moins qu’il ne soit examin\u00e9 manuellement en acc\u00e9dant aux chemins d’acc\u00e8s dans l’\u00c9diteur du Registre.<\/p>\n “Les attentats […] signifient comment l’acteur de la menace Hafnium affiche une compr\u00e9hension unique du sous-syst\u00e8me Windows et utilise cette expertise pour masquer les activit\u00e9s sur les terminaux cibl\u00e9s afin de maintenir la persistance sur les syst\u00e8mes affect\u00e9s et de se cacher \u00e0 la vue \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-experts-chinois-decouvrent-les-details-de-loutil-de-piratage.png\")
<\/a><\/div>\n\n
![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgV0LglD3xowY8HtQO5eBmCx7A-_ZLu0T959_U_H2QpjSijDpc1a_LpkMNcLixjL-zGjgqJrLqpIYt7YRp299q6rct2qqklFhhKno_X2Mcxqy8VEJgWOfdcgeyAGXs6PuYwdrBB0RQh5dDpZ6Da5dDgUNWvfbvWmuvWpNvpdSvcP_O9O7w73-YhI5bo\/s728-e100\/1.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n