×
Outbyte PC Repair
Outbyte Driver Updater

Microsoft Windows bajo ataque del malware Tarrask de Hafnium

2022/04/13
Microsoft Windows bajo ataque del malware Tarrask de Hafnium
El infame grupo de hackers Hafnium que causó estragos en los servidores de Microsoft Exchange está de regreso. Pero esta vez, Microsoft es muy consciente de las actividades de un grupo de atacantes patrocinado por el estado. La empresa es consciente de que el grupo está utilizando el malware Tarrask para atacar y debilitar progresivamente la protección del sistema operativo Windows.

El grupo Hafnium está utilizando Tarrask, «malware de evasión de seguridad», para eludir la seguridad de Windows y exponer los entornos comprometidos a la vulnerabilidad, explicó Microsoft. Equipo de detección y respuesta (DART) en una publicación de blog :

A medida que Microsoft continúa monitoreando la amenaza HAFNIUM de alta prioridad patrocinada por el estado, se ha descubierto una nueva actividad que utiliza vulnerabilidades de día cero sin parchear como vectores semilla. La investigación adicional revela artefactos forenses del uso de herramientas de ejecución y movimiento lateral de Impacket, así como la detección de un malware evasivo llamado Tarrask que crea tareas programadas «ocultas» y seguimientos para eliminar atributos de tareas para ocultar tareas programadas de las tradicionales. medios de identificación.

Microsoft está monitoreando activamente las actividades de Hafnium y es consciente de que el grupo está utilizando nuevos exploits en el subsistema de Windows. El grupo parece estar utilizando un error de Windows previamente desconocido para ocultar el malware de «schtasks/query» y el programador de tareas.

El malware evade con éxito la detección al eliminar la configuración de registro del Descriptor de seguridad correspondiente. En pocas palabras, el error del Programador de tareas de Windows que aún no se ha solucionado ayuda al malware a limpiar sus rastros y se asegura de que sus artefactos de disco (restos de acción) no revelen lo que está sucediendo.

Dejando de lado la jerga técnica, el grupo parece estar utilizando tareas programadas «ocultas» para mantener accesibles los dispositivos comprometidos incluso después de múltiples reinicios. Al igual que con cualquier malware, incluso Tarrask restablece las conexiones rotas a la infraestructura de comando y control (C2).

DART de Microsoft no solo emitió una advertencia , sino que también recomendó habilitar el registro para TaskOperational en el registro de Microsoft-Windows-TaskScheduler/Operational Task Scheduler. Esto debería ayudar a los administradores a identificar conexiones salientes sospechosas de recursos críticos de nivel 0 y nivel 1 .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *