Hacker Trung Quốc sử dụng phần mềm độc hại Tarrask mới để đảm bảo tính bền vững trên hệ thống
Nhóm APT Hafnium có liên kết với Trung Quốc đã bắt đầu sử dụng phần mềm độc hại Tarrask mới để đảm bảo tính tồn tại lâu dài trên các hệ thống Windows bị xâm nhập, theo tới Trung tâm thông tin về mối đe dọa của Microsoft (MSTIC).
Hafni chủ yếu nhắm vào các tổ chức ở Mỹ, bao gồm các trung tâm nghiên cứu bệnh truyền nhiễm, công ty luật, những tổ chức giáo dục cấp cao, nhà thầu quốc phòng, học giả, và các tổ chức phi chính phủ. Các cuộc tấn công được thực hiện bằng cách khai thác lỗ hổng trong các máy chủ có thể truy cập web, và các khung nguồn mở hợp pháp như khế ước được sử dụng để kiểm soát phần mềm độc hại.
BẰNG MSTIC giải thích, nhằm đảm bảo tính ổn định của hệ thống, La hét tạo các nhiệm vụ theo lịch trình ẩn và các khóa mới cho chúng:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}
Trong cuộc tấn công được nghiên cứu bởi Microsoft, những kẻ tấn công đã tạo tác vụ WinUpdate theo lịch trình thông qua HackTool:Win64/Tarrask để thiết lập lại kết nối bị gián đoạn với C&Máy chủ C. Họ đã xóa Bộ mô tả bảo mật (SD) giá trị từ sổ đăng ký cây. SD xác định các điều khiển truy cập để chạy tác vụ theo lịch trình.
Điểm mấu chốt là xóa giá trị SD khỏi thư mục Tree, khi đó tác vụ sẽ bị ẩn khỏi Bộ lập lịch tác vụ của Windows và tiện ích dòng lệnh schtasks. Cách duy nhất để khám phá hoạt động này là kiểm tra thủ công Trình chỉnh sửa sổ đăng ký.
Hãy để tôi nhắc bạn rằng chúng tôi cũng đã viết rằng Tin tặc Trung Quốc che giấu dấu vết và xóa phần mềm độc hại vài ngày trước khi bị phát hiện, và đó cũng là Chính quyền Trung Quốc đã bắt giữ các tác giả của cuốn sách Mạng botnet rạp chiếu phim.
