Tarrask 멀웨어 탐지: 예약 작업 악용 방어 회피 도구

중국이 지원하는 집단 Hafnium(APT로도 언급됨)은 Windows를 실행하는 장치에 대한 공격을 개시한 것으로 확인되었습니다. 이들은 공격 대상 Windows 인스턴스 내에서 “숨겨진” 예약 작업을 생성하고 지속성을 확립하기 위해 Tarrask malware라는 도구를 사용했습니다. 전문가들에 따르면 인터넷 및 데이터 제공업체가 여름 2021년 말부터 봄 2022년 초까지 가장 활발한 공격 시간 범위 내에서 광범위하게 공격받고 있다고 보고되었습니다.

Tarrask 악성 코드 탐지

다음의 SOC Prime의 Threat Bounty 개발자가 릴리스한 Sigma 기반 규칙 Aytek Aytemur 명령 프롬프트에서 SD를 제거하는 방법을 식별하여 시스템 내 Tarrask 악성 코드의 존재를 탐지합니다:

연관된 파일과 명령을 탐지하여 악성 Tarrask 악성 코드 실행 (cmdline을 통해)

이 탐지는 21개의 SIEM, EDR 및 XDR 플랫폼에서 사용할 수 있습니다.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 실행 전술과 명령 및 스크립트 인터프리터(T1059) 및 예약된 작업/작업(T1053)을 주요 기법으로 다룹니다.

시스템이 새로운 파괴적인 악성 코드 스트레인에 의해 손상되었는지 탐지하려면 SOC Prime 플랫폼에서 사용 가능한 전체 규칙 목록을 확인하십시오. 전문 위협 헌터입니까? 연속적인 보상 및 인정이 있는 Threat Bounty 프로그램을 통해 우리의 크라우드소싱 이니셔티브의 일부가 되십시오.

탐지 보기 Threat Bounty 참여

Tarrask 악성 코드란 무엇인가?

Tarrask는 관리자 필요를 위한 자동화된 예약 작업을 활성화하는 유용한 작업 예약 도구인 Windows 작업 스케줄러를 악용하도록 설계되었습니다.

새로 감지된 악성 스트레인은 탐지하기 어려운 예약 작업을 구축하며, SCHTASKS 명령줄 도구 또는 작업 스케줄러 애플리케이션을 악용하는 도구 세트를 포함합니다. 이 악성 코드를 활용하여 공격자는 새로운 작업을 생성할 때 선택한 경로, Tree 및 Tasks 내에 새로운 레지스트리 키를 추가합니다. 공격자는 침범된 인프라 내에서 은밀한 지속성을 유지하여 Tarrask의 악성 활동이 사용자의 레이더 아래에 머물도록 합니다.

중국 연계 Hafnium 갱단: 공격 벡터

Tarrask 악성 코드는 중국에서 운영되는 국가 지원 위협 행위자인 Hafnium에 의해 수행되며, Microsoft 연구자들이 보고합니다. 6개월간 분석된 공격은 Hafnium 해커들이 Windows 하위 시스템에 대한 깊은 이해를 가지고 있으며, 이를 활용해 감염된 엔드포인트에서 악성 활동을 감추고 지속성을 확립하는 지식을 활용한다는 것을 보여줍니다.

Microsoft는 Hafnium의 Microsoft Exchange 서버 남용 이후로 Hafnium의 운영을 면밀히 추적하고 있으며, 예약된 작업 서비스 구성 요소가 갱단에게 쉬운 먹잇감이 되고 있음을 확인했습니다. 또한, Hafnium의 선호하는 초기 공격 벡터는 패치되지 않은 제로데이 결함을 활용하여 악성 코드를 배포하고 복잡한 지속성 메커니즘을 구축하는 것입니다.

현재 또는 다가오는 위협에 대해 조직의 사이버 방어를 강화하려면 SOC Prime의 Detection as Code 플랫폼에 등록하십시오. 보안 환경 내에서 위협을 사냥하고 로그 소스 및 MITRE ATT&CK 범위를 개선하여 공격에 대한 방어를 다음 수준으로 끌어올리십시오.