×
Outbyte PC Repair
Outbyte Driver Updater

Microsoft Windows sotto attacco da parte del malware Tarrask di Hafnium

2022/04/13
Microsoft Windows sotto attacco da parte del malware Tarrask di Hafnium
Il famigerato gruppo di hacker Hafnium che ha devastato i server Microsoft Exchange è tornato. Ma questa volta, Microsoft è ben consapevole delle attività di un gruppo di aggressori sponsorizzato dallo stato. L’azienda è consapevole del fatto che il gruppo sta utilizzando il malware Tarrask per prendere di mira e indebolire progressivamente la protezione del sistema operativo Windows.

Il gruppo Hafnium sta utilizzando Tarrask, “malware di evasione della sicurezza”, per aggirare la sicurezza di Windows ed esporre gli ambienti compromessi alla vulnerabilità, ha spiegato Microsoft. Detection and Response Team (DART) in un post del blog :

Mentre Microsoft continua a monitorare la minaccia HAFNIUM sponsorizzata dallo stato ad alta priorità, è stata scoperta una nuova attività che utilizza vulnerabilità zero-day senza patch come vettori seed. Ulteriori indagini rivelano artefatti forensi dell’uso da parte di Impacket di strumenti di movimento ed esecuzione laterale, nonché il rilevamento di un malware evasivo chiamato Tarrask che crea attività pianificate “nascoste” e follow-up per rimuovere gli attributi delle attività per nascondere le attività pianificate da quelle tradizionali. mezzo di identificazione.

Microsoft sta monitorando attivamente le attività di Hafnium ed è consapevole che il gruppo sta utilizzando nuovi exploit nel sottosistema Windows. Il gruppo sembra utilizzare un bug di Windows precedentemente sconosciuto per nascondere il malware da “schtasks/query” e dall’utilità di pianificazione.

Il malware elude correttamente il rilevamento eliminando l’impostazione del registro del descrittore di sicurezza corrispondente. In poche parole, il bug dell’Utilità di pianificazione di Windows che non è stato ancora corretto aiuta il malware a ripulire le sue tracce e ad assicurarsi che i suoi artefatti del disco (avanzi di azione) non rivelino cosa sta succedendo.

A parte il gergo tecnico, il gruppo sembra utilizzare attività pianificate “nascoste” per mantenere accessibili i dispositivi compromessi anche dopo più riavvii. Come con qualsiasi malware, anche Tarrask ristabilisce connessioni interrotte all’infrastruttura di comando e controllo (C2).

DART di Microsoft non solo ha emesso un avviso , ma ha anche raccomandato di abilitare la registrazione per TaskOperational nel registro di Microsoft-Windows-TaskScheduler/Operational Task Scheduler. Ciò dovrebbe aiutare gli amministratori a identificare le connessioni in uscita sospette da risorse critiche di livello 0 e di livello 1 .

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *