Detección de Malware Tarrask: Herramienta de Evasión de Defensa para Abusar de Tareas Programadas
Tabla de contenidos:
El colectivo respaldado por China, denominado Hafnium (a veces referido como APT), ha sido detectado lanzando ataques contra dispositivos que ejecutan Windows. La herramienta que usaron para generar tareas programadas «ocultas» y establecer persistencia dentro de instancias de Windows bajo ataque se denomina malware Tarrask. Los expertos informan sobre ataques extensivos a proveedores de Internet y de datos, dentro del marco de tiempo de ataque más activo entre finales del verano de 2021 y principios de la primavera de 2022.
Detectar Malware Tarrask
La siguiente regla basada en Sigma, lanzada por el desarrollador de Threat Bounty de SOC Prime Aytek Aytemur detecta la presencia de malware Tarrask en su sistema identificando métodos usados para limpiar SD en el símbolo del sistema:
Esta detección está disponible para 21 plataformas SIEM, EDR y XDR.
La regla está alineada con el último marco de trabajo MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Intérprete de Comandos y Secuencias de Comando (T1059) y Tarea/Trabajo Programado (T1053) como las técnicas principales.
Para detectar si su sistema fue comprometido con nuevas cepas maliciosas devastadoras, consulte la lista completa de reglas disponibles en la plataforma de SOC Prime. ¿Es usted un cazador de amenazas profesional? Conviértase en parte de nuestra iniciativa de crowdsourcing que aporta recompensas y reconocimiento continuos con el programa Threat Bounty.
Ver Detecciones Únase a Threat Bounty
¿Qué es el Malware Tarrask?
Tarrask está diseñado para abusar del Programador de Tareas de Windows, una herramienta útil para programar trabajos y permitir tareas programadas automatizadas para las necesidades del administrador.
La cepa maliciosa recién detectada construye tareas programadas que son difíciles de detectar, junto con un conjunto de herramientas que abusan de la herramienta de línea de comandos SCHTASKS o la aplicación Programador de Tareas. Aprovechando este malware, los adversarios agregan nuevas claves de registro dentro de las rutas elegidas, Árbol y Tareas, al crear una nueva tarea. Los adversarios mantienen una persistencia sigilosa en la infraestructura comprometida, asegurando que las actividades maliciosas de Tarrask permanezcan fuera del radar del usuario.
Grupo Hafnium Afiliado a China: Vectores de Ataque
Los ataques de malware Tarrask son llevados a cabo por Hafnium, un actor de amenazas respaldado por el estado que opera desde China, según investigadores de Microsoft informan. Los ataques analizados dentro de un período de medio año muestran que los hackers de Hafnium tienen un profundo conocimiento del subsistema de Windows y utilizan ese conocimiento para ocultar su actividad maliciosa en los puntos finales infectados mientras establecen persistencia.
Microsoft ha estado siguiendo de cerca las operaciones de Hafnium desde el abuso de los adversarios a los servidores de Microsoft Exchange, y el componente de servicio de tareas programadas se ha convertido en una presa fácil y deseada para la banda. Además, el vector de ataque inicial favorito de Hafnium es aprovechar las vulnerabilidades de día cero sin parches, desplegar malware y construir un elaborado mecanismo de persistencia.
Para mejorar la defensa cibernética de su organización contra esta u otras amenazas existentes o futuras, regístrese en la plataforma de Detección como Código de SOC Prime. Cace amenazas dentro de su entorno de seguridad y mejore la cobertura de las fuentes de registro y MITRE ATT&CK para llevar su defensa contra ataques al siguiente nivel.
