Microsoft : Ces hackers utilisent une astuce simple pour cacher leur malware Windows

Microsoft a exposé Tarrask, un logiciel malveillant d’un groupe de piratage probablement soutenu par la Chine et parrainé par l’État, qui cible les machines Windows en créant des mises à jour logicielles planifiées invisibles.

Le fabricant de Windows a attribué le malware à Hafnium, le même groupe de piratage qui les États-Unis et le Royaume-Uni ont blâmé les piratages d’Exchange Server l’année dernière.

Tarrask est un simple logiciel malveillant qui crée des tâches planifiées indésirables sur les machines Windows pour y rester après un redémarrage. Les raisons des logiciels malveillants utilisent le planificateur de tâches Windows, que les administrateurs peuvent légitimement utiliser pour automatiser des tâches telles que les mises à jour logicielles pour les navigateurs et autres applications, mais dans ce cas, les attaquants l’utilisent à des fins néfastes.

VOIR: Sécurité de Windows 11 : comment protéger les PC de votre maison et de votre petite entreprise

Les tâches planifiées sont devenues une manière populaire de pirater les machines Windows pour la persistance. Microsoft a découvert que les pirates russes derrière le piratage de la chaîne d’approvisionnement de SolarWinds étaient également utiliser des tâches planifiées pour gagner en persistance sur une machine.

“Nous avons constaté que les acteurs de la menace utilisent couramment ce service pour maintenir la persistance dans un environnement Windows”, Notes Microsoft dans un article de bloget malgré sa “simplicité” c’est efficace.

Le logiciel malveillant Tarrask génère certaines clés de registre lors de la création d’une tâche planifiée, que ce soit à l’aide de l’interface utilisateur graphique du planificateur de tâches ou de l’utilitaire de ligne de commande schtasks.

Dans ce cas, l’utilisation par des pirates du planificateur de tâches Windows faisait partie d’une attaque plus large contre la vulnérabilité de contournement de l’authentification de l’API Zoho Manage Engine Rest, suivie comme CVE-2021-40539. Microsoft était suivi de l’exploitation de ce bug en novembre Parce que les pirates soutenus par la Chine utilisaient la gestion des mots de passe et le logiciel d’authentification unique de Zoho pour compromettre les machines Windows avec le shell Web Godzilla.

Microsoft affirme que les pirates Hafnium ont utilisé cette combinaison de services Windows légitimes et du bogue de Zoho d’août 2021 à février 2022 pour cibler les organisations du secteur des télécommunications, des fournisseurs de services Internet et des services de données. Mi-2021, le groupe avait ciblé chercheurs sur les maladies, cabinets d’avocats, établissements d’enseignement supérieur, sous-traitants de la défense, groupes de réflexion sur les politiques et ONG.

Tarrask crée des tâches planifiées masquées, mais crée également des actions supplémentaires afin de masquer les tâches planifiées de la détection par l’antivirus.

VOIR: Cybersécurité : passons au tactique (rapport spécial ZDNet)

Microsoft propose des instructions sur la façon dont les défenseurs peuvent vérifier manuellement l’arborescence du registre pour voir si les attaquants ont créé ces tâches planifiées indésirables.

Microsoft reconnaît que les pirates Hafnium ont développé une “compréhension unique du sous-système Windows” et l’utilisent pour “se cacher à la vue”.

Comme le note Microsoft, les méthodes utilisées par ce groupe d’attaques sont “problématiques” pour les systèmes qui ne sont pas redémarrés aussi souvent. Ceux-ci peuvent inclure des systèmes critiques tels que des contrôleurs de domaine et des serveurs de base de données.

Microsoft a quelques étapes à suivre par les administrateurs pour s’assurer que ces tâches planifiées masquées peuvent être détectées.

“Les acteurs de la menace dans cette campagne ont utilisé des tâches planifiées cachées pour maintenir l’accès aux actifs critiques exposés à Internet en rétablissant régulièrement les communications sortantes avec l’infrastructure C&C. Restez vigilant et surveillez le comportement inhabituel de vos communications sortantes en vous assurant que la surveillance et l’alerte pour ces les connexions de ces actifs critiques de niveau 0 et de niveau 1 sont en place », a-t-il déclaré.

Leave a Comment