Китайские хакеры научились по-новому сохранить постоянство на системе

Связанная с Китаем APT-группа Hafnium начала использовать новое вредоносное ПО Tarrask для обеспечения постоянства на скомпрометированных Windows-системах, сообщает Microsoft Threat Intelligence Center (MSTIC).

Hafnium в основном атакует организации в США, включая центры исследований инфекционных заболеваний, юридические фирмы, высшие образовательные учреждения, оборонных подрядчиков, научные и неправительственные организации. Атаки осуществляются путем эксплуатации уязвимостей в доступных через интернет серверах, а для управления вредоносным ПО используются легитимные фреймворки с открытым исходным кодом наподобие Covenant.

Как пояснили специалисты MSTIC, для обеспечения персистентности на системе Tarrask создает скрытые запланированные задачи и новые ключи для них:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTreeTASK_NAME

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks{GUID}

«Первый подключ, созданный в директории Tree, совпадает с именем запланированной задачи. Созданные в нем значения (Id, Index и SD) содержат метаданные для регистрации задачи в системе. Второй подключ, созданный в директории Tasks, представляет собой сопоставление GUID со значением идентификатора, найденным в ключе Tree. Значения, созданные в Actions, Path, Triggers и т.д., содержат базовые параметры, необходимые для облегчения выполнения задачи», - сообщили эксперты.

В изученной специалистами Microsoft атаке злоумышленники создали запланированную задачу WinUpdate через HackTool:Win64/Tarrask для повторной установки прерванного подключения к C&C-серверам. Они удалили значение Security Descriptor (SD) из реестра Tree. SD определяет элементы управления доступом для запуска запланированной задачи.

Суть в том, чтобы стереть значение SD из директории Tree, тогда задача будет скрыта от Windows Task Scheduler и утилиты командной строки schtasks. Единственный способ увидеть эту активность - вручную проверить редактор реестра.

Эксперты отметили, что выполнение команды reg delete для удаления значения SD приведет к ошибке «Отказано в доступе» даже при запуске из командной строки с повышенными привилегиями. Единственный способ удалить значение SD – выполнить команду в контексте пользователя SYSTEM. По этой причине вредоносное ПО Tarrask использовало кражу токенов для получения разрешений безопасности, связанных с процессом lsass.exe.