Le groupe de piratage Hafnium, soutenu par la Chine, a été lié à un nouveau malware utilisé pour maintenir la persistance dans les environnements Windows compromis.

L’acteur de la menace aurait ciblé des entités dans les secteurs des télécommunications, des fournisseurs de services Internet et des services de données d’août 2021 à février 2022, s’étendant à partir des modèles de victimologie initiaux observés lors de ses attaques exploitant les failles zero-day des serveurs Microsoft Exchange en mars. 2021.

Microsoft Threat Intelligence Center (MSTIC), qui a surnommé le malware d’évasion de la défense « Tarrask », l’a caractérisé comme un outil qui crée des tâches planifiées « cachées » sur le système. « L’abus de tâches planifiées est une méthode très courante de persistance et d’évasion de la défense – et séduisante, en plus », ont déclaré les chercheurs.

Hafnium, bien que le plus connu pour les attaques Exchange Server, a depuis exploité les vulnérabilités zero-day non corrigées comme vecteurs initiaux pour supprimer les shells Web et autres logiciels malveillants, y compris Tarrask, qui crée de nouvelles clés de registre dans deux chemins Tree et Tasks lors de la création de nouvelles tâches planifiées. –

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks{GUID}
« Dans ce scénario, l’acteur de la menace a créé une tâche planifiée nommée » WinUpdate « via HackTool:Win64/Tarrask afin de rétablir toute connexion interrompue à son infrastructure de commande et de contrôle (C&C) », ont déclaré les chercheurs.

810 / 5 000

Résultats de traduction

Cela a entraîné la création des clés de registre et des valeurs décrites dans la section précédente, cependant, l’auteur de la menace a supprimé la valeur [Descripteur de sécurité] dans le chemin de registre de l’arborescence.  » Un descripteur de sécurité (ou SD) définit les contrôles d’accès pour l’exécution du tâche. Mais en effaçant la valeur SD du chemin de registre Tree susmentionné, cela conduit effectivement à la tâche masquée du planificateur de tâches Windows ou de l’utilitaire de ligne de commande schtasks, à moins qu’elle ne soit examinée manuellement en naviguant vers les chemins dans l’éditeur de registre. « Les attaques […] montrent comment l’acteur de la menace Hafnium affiche une compréhension unique du sous-système Windows et utilise cette expertise pour masquer les activités sur les terminaux ciblés afin de maintenir la persistance sur les systèmes affectés et de se cacher à la vue », ont déclaré les chercheurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *