Rilevamento del Malware Tarrask: Strumento di Elusione delle Difese per Sfruttare le Attività Pianificate
Indice:
Il collettivo sostenuto dalla Cina noto come Hafnium (a volte indicato come APT) è stato avvistato mentre lanciava attacchi su dispositivi che eseguono Windows. Lo strumento che hanno utilizzato per generare attività pianificate “nascoste” e stabilire la persistenza all’interno delle istanze Windows sotto attacco è chiamato malware Tarrask. Gli esperti riportano attacchi estesi a fornitori di Internet e dati, con il periodo di attacco più attivo tra la fine dell’estate 2021 e l’inizio della primavera 2022.
Rileva malware Tarrask
La seguente regola basata su Sigma rilasciata dal developer di Threat Bounty di SOC Prime Aytek Aytemur rileva la presenza del malware Tarrask nel tuo sistema identificando i metodi utilizzati per pulire SD nel Prompt dei Comandi:
Esecuzione dannosa del malware Tarrask tramite rilevazione di file e comandi associati (via cmdline)
Questa rilevazione è disponibile per 21 piattaforme SIEM, EDR e XDR.
La regola è allineata con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione con Interprete Comandi e Scripting (T1059) e Attività/Job Pianificato (T1053) come tecniche principali.
Per rilevare se il tuo sistema è stato compromesso con nuove devastanti varianti maligne, controlla l’elenco completo delle regole disponibili sulla piattaforma di SOC Prime. Sei un professionista della caccia alle minacce? Diventa parte della nostra iniziativa di crowdsourcing che offre ricompense e riconoscimenti continui con il programma Threat Bounty.
Visualizza rilevamenti Unisciti a Threat Bounty
Cosa è il malware Tarrask?
Tarrask è progettato per sfruttare il Windows Task Scheduler, un utile strumento di pianificazione dei lavori per abilitare attività pianificate automatizzate per le esigenze amministrative.
La nuova variante malevole rilevata crea attività pianificate difficili da rilevare, insieme a un insieme di strumenti che sfruttano lo strumento da riga di comando SCHTASKS o l’applicazione Task Scheduler. Sfruttando questo malware, gli avversari aggiungono nuove chiavi di registro nei percorsi scelti, Albero e Attività, al momento della creazione di un nuovo compito. Gli avversari mantengono una persistenza furtiva nell’infrastruttura compromessa, garantendo che le attività malevole di Tarrask rimangano al di sotto del radar dell’utente.
Gang Hafnium Affiliata alla Cina: Vettori di Attacco
Gli attacchi del malware Tarrask sono eseguiti da Hafnium, un attore di minacce sostenuto dallo stato che opera dalla Cina, i ricercatori di Microsoft riportano. Gli attacchi analizzati nell’arco di un semestre mostrano che gli hacker Hafnium hanno una profonda comprensione del sottosistema Windows e sfruttano tale conoscenza per nascondere la loro attività malevola sui punti finali infettati mentre stabiliscono la persistenza.
Microsoft sta seguendo da vicino le operazioni di Hafnium dall’abuso del Microsoft Exchange Server da parte degli avversari, e il componente del servizio di attività pianificate sta diventando una preda facile e ricercata per la gang. Inoltre, il vettore di attacco iniziale preferito di Hafnium è quello di sfruttare le falle zero-day non corrette, distribuire malware e costruire un meccanismo di persistenza elaborato.
Per migliorare la difesa informatica della tua organizzazione contro questa o altre minacce esistenti o imminenti, registrati alla piattaforma Detection as Code di SOC Prime. Cerca le minacce nel tuo ambiente di sicurezza e migliora la copertura delle sorgenti di log e MITRE ATT&CK per portare la tua difesa contro gli attacchi al livello successivo.
