Détection du Malware Tarrask : Outil d’Évasion de Défense pour Abuser des Tâches Planifiées

Le collectif soutenu par la Chine, appelé Hafnium (parfois désigné comme APT), a été repéré en train de lancer des attaques sur des appareils fonctionnant sous Windows. L’outil qu’ils ont utilisé pour générer des tâches planifiées « cachées » et établir une persistance dans les instances Windows attaquées est surnommé le malware Tarrask. Les experts font état de fournisseurs Internet et de données étant attaqués de manière intensive, dans la période d’attaque la plus active entre la fin de l’été 2021 et le début du printemps 2022.

Détecter le Malware Tarrask

La règle basée sur Sigma suivante publiée par le développeur Threat Bounty de SOC Prime Aytek Aytemur détecte la présence du malware Tarrask dans votre système en identifiant les méthodes utilisées pour effacer SD dans l’invite de commande :

Exécution malveillante de Tarrask par détection de fichiers et commandes associés (via cmdline)

Cette détection est disponible pour 21 plateformes SIEM, EDR et XDR.

La règle est alignée avec le dernier cadre du MITRE ATT&CK® v.10, abordant la tactique d’exécution avec l’interpréteur de commande et de script (T1059) et la tâche ou le travail planifié (T1053) comme techniques principales.

Pour détecter si votre système a été compromis par de nouvelles souches malveillantes dévastatrices, vérifiez la liste complète des règles disponibles sur la plateforme de SOC Prime. Êtes-vous un chasseur de menaces professionnel ? Devenez partie de notre initiative de crowdsourcing qui apporte des récompenses continues et de la reconnaissance avec le programme Threat Bounty.

Voir les détections Rejoindre Threat Bounty

Qu’est-ce que le Malware Tarrask ?

Tarrask est conçu pour abuser du Planificateur de tâches Windows, un outil pratique de planification de tâches pour automatiser des tâches planifiées pour les besoins admin.

La souche malveillante nouvellement détectée construit des tâches planifiées difficiles à détecter, avec un ensemble d’outils utilisant l’outil en ligne de commande SCHTASKS ou l’application Planificateur de tâches. En utilisant ce malware, les adversaires ajoutent de nouvelles clés de registre dans les chemins choisis, Arborescence et Tâches, lors de la création d’une nouvelle tâche. Les adversaires maintiennent une persistance discrète dans l’infrastructure compromise, garantissant que les activités malveillantes de Tarrask restent sous le radar de l’utilisateur.

Groupe Hafnium affilié à la Chine : Vecteurs d’attaque

Les attaques du malware Tarrask sont menées par Hafnium, un acteur de menace soutenu par l’État qui opère depuis la Chine, les chercheurs de Microsoft rapportent. Les attaques analysées sur une période de six mois montrent que les hackers de Hafnium ont une compréhension approfondie du sous-système Windows et utilisent cette connaissance pour dissimuler leur activité malveillante sur les points d’extrémité infectés tout en établissant une persistance.

Microsoft suit de près les opérations de Hafnium depuis l’exploitation par les adversaires de Microsoft Exchange Server, et le composant du service de tâches planifiées devenant une proie facile et convoitée pour le groupe. De plus, le vecteur d’attaque initial préféré de Hafnium est l’exploitation des failles zero-day non corrigées, le déploiement de logiciels malveillants et la construction d’un mécanisme de persistance élaboré.

Pour améliorer la cyberdéfense de votre organisation contre cette menace ou d’autres menaces existantes ou futures, inscrivez-vous à la plateforme Detection as Code de SOC Prime. Recherchez les menaces dans votre environnement de sécurité et améliorez la source des journaux et la couverture MITRE ATT&CK pour porter votre défense contre les attaques à un niveau supérieur.