El grupo de piratería Hafnium, respaldado por China, ha sido vinculado a una parte de un nuevo malware que se utiliza para mantener la persistencia en entornos de Windows comprometidos
Se dice que el actor de amenazas apuntó a entidades en los sectores de telecomunicaciones, proveedores de servicios de Internet y servicios de datos desde agosto de 2021 hasta febrero de 2022, expandiéndose desde los patrones de victimología iniciales observados durante sus ataques que explotaban las fallas de día cero en los servidores de Microsoft Exchange en marzo. 2021.
Microsoft Threat Intelligence Center (MSTIC), que denominó al malware de evasión de defensa " Tarrask ", lo caracterizó como una herramienta que crea tareas programadas "ocultas" en el sistema. "El abuso de tareas programadas es un método muy común de persistencia y evasión de la defensa, y uno tentador, además", dijeron los investigadores .
Hafnium, aunque es más notable por los ataques a Exchange Server, desde entonces ha aprovechado las vulnerabilidades de día cero sin parches como vectores iniciales para lanzar shells web y otro malware, incluido Tarrask, que crea nuevas claves de registro dentro de dos rutas Tree y Tasks al crear nuevas tareas programadas. -
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}
"En este escenario, el actor de amenazas creó una tarea programada llamada 'WinUpdate' a través de HackTool:Win64/Tarrask para restablecer cualquier conexión interrumpida a su infraestructura de comando y control (C&C)", dijeron los investigadores.
"Esto resultó en la creación de las claves de registro y los valores descritos en la sección anterior, sin embargo, el actor de amenazas eliminó el valor [Security Descriptor] dentro de la ruta de registro del árbol". Un descriptor de seguridad (también conocido como SD ) define los controles de acceso para ejecutar la tarea programada.
Pero al borrar el valor SD de la ruta de registro de Tree mencionada anteriormente, conduce efectivamente a la tarea oculta del Programador de tareas de Windows o la utilidad de línea de comandos schtasks , a menos que se examine manualmente navegando a las rutas en el Editor de registro.
"Los ataques [...] significan cómo el actor de amenazas Hafnium muestra una comprensión única del subsistema de Windows y usa esta experiencia para enmascarar actividades en puntos finales específicos para mantener la persistencia en los sistemas afectados y ocultarse a plena vista", dijeron los investigadores.
Historias relacionadas :
Nuevo malware Octo causa terror en su teléfono móvil en Android y como frenar está amenaza
Nuevo malware de Android acechara a los clientes brasileños de un banco
BlackCat : aterriza el nuevo malware ransomware basado en Rust
Nuevo malware tiene como finalidad dirigirse a los fanáticos de NFT y criptografía en Discord
Nuevo malware : ahora es capaz de evadir cualquier tipo de antivirus
Cuidado las aplicaciones de Squid Game, reportan que están siendo infectadas por malware
Descubren varios malware que roban datos de los usuarios de Mac
[Fuente]: thehackernews.com
Anónimo.( 13 de Abril de 2022).Interfase de regedit. Modificado por Carlos Zambrado Recuperadothehackernews.com