臭名昭著的对MicrosoftExchange服务器造成严重破坏的铪黑客组织又回来了。但这一次,微软非常清楚国家支持的威胁行为者组织的活动,该组织正在使用“Tarrask”恶意软件瞄准并不断削弱Windows操作系统的防御。在一篇博客文章中,微软的检测和响应团队(DART)解释说,Hafnium组织正在使用Tarrask,一种“防御规避恶意软件”,以规避Windows的防御并确保受感染的环境仍然容易受到攻击。随着Microsoft继续跟踪高优先级国家支持的威胁参与者HAFNIUM,我们发现了利用未修补的零日漏洞作为初始向量的新活动。进一步的调查揭示了使用Impacket工具执行取证并发现了一种名为Tarrask的防御规避恶意软件,它创建了“隐藏”计划任务,随后采取行动删除任务属性,以掩盖识别计划任务的传统方法。Microsoft正在积极跟踪Hafnium的活动,并意识到该组织正在利用Windows子系统中的新漏洞。该组织显然利用了一个以前未知的Windows漏洞,将恶意软件隐藏在“schtasks/query”和任务调度程序中。该恶意软件设法通过删除关联的安全描述符注册表值来逃避检测。简而言之,一个尚未修补的Windows任务计划程序错误正在帮助恶意软件清理其踪迹,并确保其磁盘上的恶意软件有效残留物尽可能不相关,从而表现出延迟和欺骗性。因此,该组织似乎在使用“隐藏”计划任务来保留对受感染设备的访问权限,即使在多次重启后也是如此。与任何恶意软件一样,即使是Tarrask也会重新建立与命令和控制(C2)基础设施的断开连接。Microsoft的Dart不仅发出警告,而且还建议在Microsoft-Windows-TaskScheduler/OperationalTaskScheduler日志中为“TaskOperational”启用日志记录。这有助于管理员查找来自关键资产的可疑出站连接。了解更多:https://www.microsoft.com/security/blog/2022/04/12/tarrask-malware-uses-scheduled-tasks-for-defense-evasion/
