Nhóm hacker khét tiếng Hafnium triển khai mã độc nhắm vào Windows, Microsoft đứng ngồi không yên

Hafnium, nhóm hacker khét tiếng từng gây chấn động thế giới với chiến dịch đánh tàn phá các máy chủ Microsoft Exchange cách đây hơn một năm, đang có màn tái xuất khiến Microsoft một lần nữa đứng ngồi không yên.

Nhưng lần này, công ty Redmond dường như đã có sự chuẩn bị tốt khi tuyên bố nắm rõ thông tin về hoạt động của nhóm tin tặc. Các chuyên gia bảo mật Microsoft cho biết Hafnium đang sử dụng một chủng phần mềm độc hại có tên “Tarrask” để nhắm mục tiêu và liên tục làm suy yếu khả năng phòng thủ của hệ điều hành Windows nói chung.

Cụ thể theo điều tra sơ bộ của Microsoft, nhóm Hafnium đang sử dụng Tarrask, một "phần mềm độc hại né tránh phòng thủ", để vượt qua các lớp phòng thủ bảo mật của Windows, đồng thời đảm bảo các môi trường bị xâm nhập vẫn dễ bị tấn công. Giải thích về vấn đề này, nhóm Microsoft Detection and Response Team (DART) cho biết trong một bài đăng trên blog:

Trong quá trình theo dõi tác nhân đe dọa HAFNIUM với mức độ ưu tiên cao, chúng tôi phát hiện ra rằng một số lỗ hổng zero-day chưa được vá của Windows đã bị hacker lạm dụng như các vectơ tấn công ban đầu. Điều tra sâu hơn cho thấy dấu hiệu của việc sử dụng công cụ Impacket để triển khai hoạt động độc hại theo chiều ngang, và phát hiện ra phần mềm độc hại né tránh phòng thủ có tên là Tarrask. Nó tạo ra các task được lên lịch 'ẩn', đi kèm với những hành động để xóa các thuộc tính nhiệm vụ, để che giấu hoạt động của mình.

Microsoft đang tích cực theo dõi các hoạt động của Hafnium và biết rằng nhóm này đang lạm dụng cách khai thác mới nhắm vào Windows subsystem. Các tác nhân độc hại dường như đang khai thác một lỗi Windows chưa biết đến trước đây để ẩn phần mềm độc hại khỏi "schtasks/query" và Task Scheduler.

Phần mềm độc hại tránh được sự phát hiện của các công cụ bảo mật Windows bằng cách xóa giá trị registry Security Descriptor được liên kết. Hiểu theo cách đơn giản, một lỗi Windows Task Scheduler chưa được vá đang giúp phần mềm độc hại xóa sạch các dấu vết của nó và ẩn mình hiệu quả trước các hệ thống phòng thủ chủ động của hệ điều hành.

Đặt các thuật ngữ kỹ thuật sang một bên, có thể hiểu rằng Hafnium dường như đang sử dụng các tác vụ được lên lịch "ẩn" để giữ quyền truy cập vào các thiết bị bị xâm phạm ngay cả sau nhiều lần khởi động lại. Như với bất kỳ phần mềm độc hại nào, ngay cả Tarrask cũng thiết lập lại các kết nối với cơ sở hạ tầng Command-and-Control (C2).

Đội ngũ Microsoft DART không chỉ đưa ra cảnh báo mà còn khuyến nghị người dùng kích hoạt quy trình bật ghi nhật ký cho “TaskOperational” trong Microsoft-Windows-TaskScheduler/Operational Task Scheduler log. Điều này sẽ giúp quản trị viên hệ thống dễ dàng tìm kiếm kết nối đáng ngờ từ các nội dung Tier 0 và Tier 1 quan trọng.

Thứ Năm, 28/04/2022 14:30
31 👨 408
0 Bình luận
Sắp xếp theo