▶Microsoft ส่งเสียงเตือนเกี่ยวกับมัลแวร์ Windows ตัวใหม่

การเปรียบเทียบ
บทเรียน
Microsoft กำลังส่งเสียงเตือนเกี่ยวกับมัลแวร์ Windows ตัวใหม่ที่ยุ่งยาก

Microsoft กำลังส่งเสียงเตือนเกี่ยวกับมัลแวร์ Windows ตัวใหม่ที่ยุ่งยาก

แฮฟเนียมนักแสดงที่ได้รับการสนับสนุนจากรัฐจีน ถูกค้นพบโดยใช้มัลแวร์ตัวใหม่เพื่อรักษาการเข้าถึงจุดสิ้นสุดของ Windows ที่ถูกแฮ็กโดยใช้งานที่กำหนดเวลาไว้ที่ซ่อนอยู่ Microsoft ประกาศ

ทีมตรวจจับและตอบสนองของ Microsoft (DART) อ้างว่ากลุ่มนี้ใช้ประโยชน์จากช่องโหว่ที่ไม่รู้จักก่อนหน้านี้ (ศูนย์วัน) ในการโจมตีของพวกเขา

“การสืบสวนเผยให้เห็นสิ่งประดิษฐ์ทางนิติเวชจากการใช้เครื่องมือ Impacket สำหรับการเคลื่อนไหวด้านข้างและการดำเนินการ และการค้นพบมัลแวร์การหลบเลี่ยงการป้องกันที่เรียกว่า Tarrask ที่สร้างงานตามกำหนดเวลาที่ "ซ่อน" และการดำเนินการที่ตามมาเพื่อลบแอตทริบิวต์ของงาน เพื่อซ่อนงานที่ตั้งโปรแกรมไว้จากวิธีการระบุตัวตนแบบเดิม โผอธิบาย

ระบุมัลแวร์

Tarrask ซ่อนกิจกรรมจาก "schtasks/query" และจากตัวกำหนดเวลางาน โดยลบค่ารีจิสทรีตัวบอกเกี่ยวกับความปลอดภัยใดๆ ออก

อาชญากรชาวจีนใช้ภารกิจที่ซ่อนอยู่เหล่านี้เพื่อกู้คืนการเชื่อมต่อกับ C2 หลังจากรีบูตอุปกรณ์

วิธีหนึ่งในการค้นหางานที่ซ่อนอยู่คือการตรวจสอบรีจิสทรีของ Windows สำหรับงานตามกำหนดเวลาด้วยตนเองโดยไม่มีค่าตัวบอกความปลอดภัยในรหัสงาน ซึ่งจะอธิบายในรายละเอียดเพิ่มเติม

อีกวิธีหนึ่งในการตรวจจับมัลแวร์คือการเปิดใช้งานบันทึก Security.evtx และ Microsoft-Windows-TaskScheduler/Operational.evtx และค้นหาเหตุการณ์สำคัญที่เกี่ยวข้องกับงาน "ที่ซ่อนอยู่" ใด ๆ ที่ใช้ Tarrask

บริษัทยักษ์ใหญ่ Redmond ยังแนะนำให้เปิดใช้งานการบันทึก "TaskOperational" ในรีจิสทรี Microsoft-Windows-TaskScheduler/Operational Task Scheduler และตรวจสอบการเชื่อมต่อขาออกจากสินทรัพย์ที่สำคัญระดับ 0 และระดับ 1

“ผู้คุกคามในแคมเปญนี้ใช้งานที่กำหนดเวลาไว้ที่ซ่อนอยู่เพื่อรักษาการเข้าถึงสินทรัพย์ที่เปิดเผยทางอินเทอร์เน็ตที่สำคัญโดยสร้างการสื่อสารขาออกใหม่ด้วยโครงสร้างพื้นฐาน C&C เป็นประจำ” DART อธิบาย

"เราตระหนักดีว่างานที่กำหนดเวลาไว้เป็นเครื่องมือที่มีประสิทธิภาพสำหรับฝ่ายตรงข้ามในการทำงานบางอย่างโดยอัตโนมัติ ในขณะเดียวกันก็มีความเพียรพยายาม ซึ่งทำให้เราสร้างความตระหนักถึงเทคนิคที่มักถูกมองข้ามนี้"

ในการประกาศเดียวกันนี้ Microsoft ยังเสริมด้วยว่า Hafnium ตั้งเป้าไปที่ช่องโหว่การพิสูจน์ตัวตน Zoho Manage Engine Rest API เพื่อดร็อปเว็บเชลล์ Godzilla ที่มีคุณสมบัติคล้ายกัน ซึ่ง Unit42 ได้ค้นพบก่อนหน้านี้เช่นกัน

ตั้งแต่เดือนสิงหาคม พ.ศ. 2021 ไมโครซอฟต์กล่าวเสริมว่า ฮาฟเนียมได้กำหนดเป้าหมายไปยังองค์กรต่างๆ ในอุตสาหกรรมโทรคมนาคม ผู้ให้บริการอินเทอร์เน็ต และบริการข้อมูล โดยสรุปว่ากลุ่มนี้ได้ขยายจุดสนใจ

ผ่าน: BleepingComputer

Microsoft กำลังส่งเสียงเตือนเกี่ยวกับมัลแวร์ Windows ตัวใหม่ที่ยุ่งยาก

ระบุมัลแวร์ (adsbygoogle = window.adsbygoogle || []).push({});

ระบุมัลแวร์