Microsoft a découvert un nouveau malware utilisé par le groupe de piratage Hafnium soutenu par la Chine pour maintenir la persistance sur les systèmes Windows compromis en créant et en masquant des tâches planifiées.
Le groupe de menace Hafnium a déjà ciblé des entreprises de défense américaines, des groupes de réflexion et des chercheurs dans des attaques de cyberespionnage.
C’est également l’un des groupes parrainés par l’État liés par Microsoft à l’exploitation à l’échelle mondiale de l’année dernière des failles ProxyLogon zero-day affectant toutes les versions Microsoft Exchange prises en charge.
Persistance via la suppression de la valeur de registre Windows
« Alors que Microsoft continue de suivre l’acteur de menace hautement prioritaire parrainé par l’État HAFNIUM, une nouvelle activité a été découverte qui exploite les vulnérabilités zero-day non corrigées comme vecteurs initiaux », a déclaré l’équipe de détection et de réponse de Microsoft (DART).
« Une enquête plus approfondie révèle des artefacts médico-légaux de l’utilisation des outils Impacket pour le mouvement latéral et l’exécution et la découverte d’un logiciel malveillant d’évasion de la défense appelé Tarrask qui crée des tâches planifiées » cachées « et des actions ultérieures pour supprimer les attributs de la tâche, pour dissimuler les tâches planifiées de moyen d’identification traditionnel. »
Cet outil de piratage, surnommé Tarraskutilise un bug Windows jusqu’alors inconnu pour les masquer de « schtasks /query » et du planificateur de tâches en supprimant la valeur de registre associée au descripteur de sécurité.
Le groupe de menaces a utilisé ces tâches planifiées « cachées » pour maintenir l’accès aux appareils piratés même après le redémarrage en rétablissant les connexions interrompues à l’infrastructure de commande et de contrôle (C2).
Alors que les opérateurs Hafnium auraient pu supprimer tous les artefacts sur disque, y compris toutes les clés de registre et le fichier XML ajouté au dossier système pour supprimer toutes les traces de leur activité malveillante, cela aurait supprimé la persistance entre les redémarrages.
Comment se défendre contre les attaques de Tarrask
Les tâches « cachées » ne peuvent être trouvées qu’après une inspection manuelle plus approfondie du registre Windows si vous recherchez des tâches planifiées sans valeur SD (descripteur de sécurité) dans leur clé de tâche.
Les administrateurs peuvent également activer les journaux Security.evtx et Microsoft-Windows-TaskScheduler/Operational.evtx pour vérifier les événements clés liés aux tâches « cachées » à l’aide du logiciel malveillant Tarrask.
Microsoft recommande également d’activer la journalisation pour « TaskOperational » dans le journal Microsoft-Windows-TaskScheduler/Operational Task Scheduler et de surveiller les connexions sortantes à partir de ressources critiques. Actifs de niveau 0 et de niveau 1.
« Les acteurs de la menace dans cette campagne ont utilisé des tâches planifiées cachées pour maintenir l’accès aux actifs critiques exposés à Internet en rétablissant régulièrement les communications sortantes avec l’infrastructure C&C », DART ajoutée.
« Nous reconnaissons que les tâches planifiées sont un outil efficace pour les adversaires pour automatiser certaines tâches tout en obtenant de la persévérance, ce qui nous amène à sensibiliser à cette technique souvent négligée. »