Windows|微软Windows受到Hafnium恶意软件"Tarrask"的集团化攻击
对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了 。但这一次,微软清楚地知道这个国家支持的威胁行为者团体的活动意图,该组织正在利用"Tarrask"恶意软件来瞄准并不断削弱Windows操作系统的防御能力 。
文章图片
微软检测和响应小组(DART)在一篇博文中解释说,Hafnium集团正在利用Tarrask这种"防御规避恶意软件"来规避Windows的防御,并确保被破坏的环境保持脆弱 。
【Windows|微软Windows受到Hafnium恶意软件"Tarrask"的集团化攻击】随着微软继续追踪高优先级的国家支持的威胁行为者HAFNIUM,我们发现了新的活动,利用未修补的零日漏洞作为初始载体 。进一步的调查显示了使用Impacket工具执行取证,并发现了一个名为Tarrask的防御规避恶意软件,它创建了"隐藏"的计划任务,并随后采取行动删除任务属性,以掩盖计划任务的传统识别手段 。
微软正在积极跟踪Hafnium的活动,并意识到该组织正在利用Windows子系统内的新的漏洞 。该组织显然是利用了一个以前未知的Windows漏洞,将恶意软件隐藏在"schtasks /query"和任务调度程序中 。
文章图片
文章图片
文章图片
文章图片
该恶意软件通过删除相关的安全描述符注册表值成功地逃避了检测 。简单地说,一个尚未打补丁的Windows任务调度程序错误正在帮助恶意软件清理其踪迹,并确保其磁盘上的恶意软件有效残余尽可能地不显示出相关性,展示出潜伏能力与迷惑性 。其结果是,该组织似乎正在使用"隐藏的"计划任务,即使在多次重启后也能保留对被入侵设备的访问 。与任何恶意软件一样,即使是Tarrask也会重新建立与指挥和控制(C2)基础设施的中断连接 。
微软的DART不仅发出了警告,而且还建议在Microsoft-Windows-TaskScheduler/Operational Task Scheduler日志中启用"TaskOperational"的日志 。这有助于管理员从关键的资产中寻找可疑的出站连接 。
了解更多:
https://www.microsoft.com/security/blog/2022/04/12/tarrask-malware-uses-scheduled-tasks-for-defense-evasion/
推荐阅读
- Windows|Windows 10获KB5012599更新:微软下放Search Highlights功能
- Windows|Windows 11获KB5012592更新:引入Search Highlights新功能
- Windows|Windows 11会这样改:22H2版文件管理器新特性大曝光
- Microsoft|消息称微软正为Xbox Series X研发更小、更节能的芯片
- Windows|Windows 11文件管理器可将OneDrive设置为主页
- Microsoft|万元安卓旗舰微软Surface Duo 2暴降3000多元:6400元起
- Foxconn|分析师表示富士康没有受到防疫封控措施的影响 可继续提供产能
- Windows|教你在Windows 11上直接查看笔记本电池损耗和健康度
- Windows|Windows 11 22H2 允许让用户停用任务栏通知区域的所有应用图标
- Windows|微软推出Windows Autopatch服务以确保企业Windows 10/11持续安装更新