Windows

Le groupe de piratage Hafnium, soutenu par la Chine, a été lié à un nouveau malware utilisé pour maintenir la persistance dans les environnements Windows compromis.

L’acteur de la menace aurait ciblé des entités dans les secteurs des télécommunications, des fournisseurs de services Internet et des services de données d’août 2021 à février 2022, s’étendant à partir des modèles de victimologie initiaux observés lors de ses attaques exploitant les failles zero-day des serveurs Microsoft Exchange en mars. 2021.

Microsoft Threat Intelligence Center (MSTIC), qui a surnommé le malware d’évasion de la défense « Tarrask« , l’a caractérisé comme un outil qui crée des tâches planifiées « cachées » sur le système. « L’abus de tâches planifiées est une méthode très courante de persistance et d’évasion de la défense – et séduisante, en plus », ont déclaré les chercheurs. mentionné.

La Cyber-Sécurité

Hafnium, bien que le plus connu pour les attaques Exchange Server, a depuis exploité les vulnérabilités zero-day non corrigées comme vecteurs initiaux pour supprimer les shells Web et autres logiciels malveillants, y compris Tarrask, qui crée de nouvelles clés de registre dans deux chemins Tree et Tasks lors de la création de nouvelles tâches planifiées. –

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

« Dans ce scénario, l’acteur de la menace a créé une tâche planifiée nommée » WinUpdate « via HackTool:Win64/Tarrask afin de rétablir toute connexion interrompue à son infrastructure de commande et de contrôle (C&C) », ont déclaré les chercheurs.

Publicité
1

« Cela a entraîné la création des clés de registre et des valeurs décrites dans la section précédente, cependant, l’auteur de la menace a supprimé le [Security Descriptor] valeur dans le chemin de registre de l’arborescence. » Un descripteur de sécurité (alias Dakota du Sud) définit les contrôles d’accès pour l’exécution de la tâche planifiée.

La Cyber-Sécurité

Mais en effaçant la valeur SD du chemin de registre Tree susmentionné, cela conduit effectivement à la tâche masquée du planificateur de tâches Windows ou du schtasks utilitaire de ligne de commande, à moins qu’il ne soit examiné manuellement en accédant aux chemins d’accès dans l’Éditeur du Registre.

« Les attentats […] signifient comment l’acteur de la menace Hafnium affiche une compréhension unique du sous-système Windows et utilise cette expertise pour masquer les activités sur les terminaux ciblés afin de maintenir la persistance sur les systèmes affectés et de se cacher à la vue », ont déclaré les chercheurs.


Rate this post
Publicité
Article précédentOddworld: le développeur de Soulstorm déclare que l’accord PlayStation Plus était « dévastateur » pour les ventes
Article suivantSKT investit dans le métaverse – Mobile World Live
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici