Tarraskマルウェア検出：スケジュールされたタスクを悪用する防御回避ツール

中国の支援を受けたコレクティブであるHafnium（APTとも呼ばれることがあります）が、Windowsを稼働しているデバイスへの攻撃を開始していることが発見されました。彼らが使用したツールは、攻撃対象のWindowsインスタンス内で「隠された」スケジュールタスクを生成し、持続性を確立するためのもので、Tarraskマルウェアと命名されています。専門家は、2021年夏末から2022年春初めまでの最も活発な攻撃期間に、インターネットおよびデータプロバイダーが広範に攻撃されていると報告しています。

Tarraskマルウェアの検出

SOC PrimeのThreat Bounty開発者によってリリースされた次のSigmaベースのルール Aytek Aytemur は、コマンドプロンプトでSDを消去するために使用された方法を特定することによって、システム内のTarraskマルウェアの存在を検出します。

関連ファイルとコマンドの検出による悪意あるTarraskマルウェアの実行（cmdline経由）

この検出は、21のSIEM、EDR & XDRプラットフォームで利用可能です。

このルールは、最新のMITRE ATT&CK®フレームワークv.10に対応しており、コマンドとスクリプトインタープリター（T1059）およびスケジュールされたタスク/ジョブ（T1053）を主な技術として実行戦術を扱います。

新しい壊滅的な悪意あるストレインでシステムが侵害されたかどうかを検出するには、SOC Primeのプラットフォームで利用可能なルールの完全なリストをチェックしてください。あなたはプロの脅威ハンターですか？継続的な報酬と認識をもたらすThreat Bountyプログラムの一環になりましょう。

検出を表示 Threat Bountyに参加

Tarraskマルウェアとは何ですか？

Tarraskは、管理者のニーズに応じた自動化されたスケジュールタスクを可能にする便利なジョブスケジューリングツールであるWindowsタスクスケジューラを悪用するように設計されています。

新たに検出された悪意あるストレインは、検出が難しいスケジュールタスクを構築するとともに、SCHTASKSコマンドラインツールまたはタスクスケジューラアプリケーションを悪用する一連のツールを備えています。このマルウェアを利用することで、敵対者は、新しいタスクを作成する際にTreeおよびTasksという選択されたパス内に新しいレジストリキーを追加します。敵対者は、侵害されたインフラストラクチャでステルス性の持続を維持し、Tarraskの悪意ある活動がユーザーの監視を逃れるようにします。

中国関係のHafniumギャング：攻撃ベクトル

Tarraskマルウェアの攻撃は、中国から運営される国家支援の脅威アクターであるHafniumによって行われ、Microsoftの研究者 が報告しています。半年間の期間内で分析された攻撃は、HafniumハッカーがWindowsサブシステムを深く理解し、感染したエンドポイントでの悪意ある活動を隠じ、持続性を確立するためにその知識を活用していることを示しています。

Microsoftは、敵対者によるMicrosoft Exchange Serverの悪用以来、Hafniumの活動を綿密に追跡しており、スケジュールタスクサービスコンポーネントがギャングにとって容易で望ましい獲物になっています。さらに、Hafniumの初期攻撃ベクトルは、未修正のゼロデイ脆弱性を活用し、マルウェアを展開し、精巧な持続メカニズムを構築することが好きです。

このまたは他の既存、または今後の脅威に対する組織のサイバー防御を強化するには、登録してください SOC PrimeのDetection as Codeプラットフォーム。あなたのセキュリティ環境内で脅威をハントし、ログのソースとMITRE ATT&CKのカバレッジを改善して、攻撃対策を次のレベルに引き上げましょう。