แฮฟเนียมนักแสดงที่ได้รับการสนับสนุนจากรัฐจีน ถูกค้นพบโดยใช้มัลแวร์ตัวใหม่เพื่อรักษาการเข้าถึงจุดสิ้นสุดของ Windows ที่ถูกแฮ็กโดยใช้งานที่กำหนดเวลาไว้ที่ซ่อนอยู่ Microsoft ประกาศ
ทีมตรวจจับและตอบสนองของ Microsoft (DART) อ้างว่ากลุ่มนี้ใช้ประโยชน์จากช่องโหว่ที่ไม่รู้จักก่อนหน้านี้ (ศูนย์วัน) ในการโจมตีของพวกเขา
“การสืบสวนเผยให้เห็นสิ่งประดิษฐ์ทางนิติเวชจากการใช้เครื่องมือ Impacket สำหรับการเคลื่อนไหวด้านข้างและการดำเนินการ และการค้นพบมัลแวร์การหลบเลี่ยงการป้องกันที่เรียกว่า Tarrask ที่สร้างงานตามกำหนดเวลาที่ "ซ่อน" และการดำเนินการที่ตามมาเพื่อลบแอตทริบิวต์ของงาน เพื่อซ่อนงานที่ตั้งโปรแกรมไว้จากวิธีการระบุตัวตนแบบเดิม โผอธิบาย
ระบุมัลแวร์
Tarrask ซ่อนกิจกรรมจาก "schtasks/query" และจากตัวกำหนดเวลางาน โดยลบค่ารีจิสทรีตัวบอกเกี่ยวกับความปลอดภัยใดๆ ออก
อาชญากรชาวจีนใช้ภารกิจที่ซ่อนอยู่เหล่านี้เพื่อกู้คืนการเชื่อมต่อกับ C2 หลังจากรีบูตอุปกรณ์
วิธีหนึ่งในการค้นหางานที่ซ่อนอยู่คือการตรวจสอบรีจิสทรีของ Windows สำหรับงานตามกำหนดเวลาด้วยตนเองโดยไม่มีค่าตัวบอกความปลอดภัยในรหัสงาน ซึ่งจะอธิบายในรายละเอียดเพิ่มเติม
อีกวิธีหนึ่งในการตรวจจับมัลแวร์คือการเปิดใช้งานบันทึก Security.evtx และ Microsoft-Windows-TaskScheduler/Operational.evtx และค้นหาเหตุการณ์สำคัญที่เกี่ยวข้องกับงาน "ที่ซ่อนอยู่" ใด ๆ ที่ใช้ Tarrask
บริษัทยักษ์ใหญ่ Redmond ยังแนะนำให้เปิดใช้งานการบันทึก "TaskOperational" ในรีจิสทรี Microsoft-Windows-TaskScheduler/Operational Task Scheduler และตรวจสอบการเชื่อมต่อขาออกจากสินทรัพย์ที่สำคัญระดับ 0 และระดับ 1
“ผู้คุกคามในแคมเปญนี้ใช้งานที่กำหนดเวลาไว้ที่ซ่อนอยู่เพื่อรักษาการเข้าถึงสินทรัพย์ที่เปิดเผยทางอินเทอร์เน็ตที่สำคัญโดยสร้างการสื่อสารขาออกใหม่ด้วยโครงสร้างพื้นฐาน C&C เป็นประจำ” DART อธิบาย
"เราตระหนักดีว่างานที่กำหนดเวลาไว้เป็นเครื่องมือที่มีประสิทธิภาพสำหรับฝ่ายตรงข้ามในการทำงานบางอย่างโดยอัตโนมัติ ในขณะเดียวกันก็มีความเพียรพยายาม ซึ่งทำให้เราสร้างความตระหนักถึงเทคนิคที่มักถูกมองข้ามนี้"
ในการประกาศเดียวกันนี้ Microsoft ยังเสริมด้วยว่า Hafnium ตั้งเป้าไปที่ช่องโหว่การพิสูจน์ตัวตน Zoho Manage Engine Rest API เพื่อดร็อปเว็บเชลล์ Godzilla ที่มีคุณสมบัติคล้ายกัน ซึ่ง Unit42 ได้ค้นพบก่อนหน้านี้เช่นกัน
ตั้งแต่เดือนสิงหาคม พ.ศ. 2021 ไมโครซอฟต์กล่าวเสริมว่า ฮาฟเนียมได้กำหนดเป้าหมายไปยังองค์กรต่างๆ ในอุตสาหกรรมโทรคมนาคม ผู้ให้บริการอินเทอร์เน็ต และบริการข้อมูล โดยสรุปว่ากลุ่มนี้ได้ขยายจุดสนใจ
ผ่าน: BleepingComputer