Tarrask

Raksasa teknologi Microsoft telah memperingatkan pengguna tentang kampanye malware dan ancaman dunia maya terbaru dan memberi tahu mereka bahwa kelompok aktor ancaman yang disponsori negara yang berbasis di China: Hafnium.

Menurut Windows Central, kali ini, peringatan itu ditujukan untuk Tarrask, “malware penghindaran pertahanan” yang menggunakan Windows Task Scheduler untuk menyembunyikan status perangkat yang disusupi dari dirinya sendiri.

“Ketika Microsoft terus melacak aktor ancaman yang disponsori negara dengan prioritas tinggi HAFNIUM, aktivitas baru telah ditemukan yang memanfaatkan kerentanan zero-day yang belum ditambal sebagai vektor awal,” kata perusahaan itu dalam sebuah posting blog.

Serangan itu berasal dari Hafnium, kelompok yang disponsori negara, berbasis di China yang mungkin diingat oleh pengguna sebagai masalah besar karena keterlibatannya dalam krisis Microsoft Exchange pada tahun 2021.

Data yang dikumpulkan selama cobaan itu telah berspekulasi menjadi bahan bakar untuk inovasi AI oleh pemerintah China, kata laporan itu.

Perusahaan mengatakan sedang melacak Hafnium menggunakan malware Tarrask untuk memastikan bahwa PC yang disusupi tetap rentan, menggunakan bug Penjadwal Tugas Windows untuk membersihkan jejak dan memastikan bahwa artefak pada disk dari aktivitas Tarrask tidak bertahan untuk mengungkapkan apa yang terjadi.

Raksasa teknologi ini juga mendemonstrasikan bagaimana pelaku ancaman membuat tugas terjadwal, bagaimana mereka menutupi jejak mereka, bagaimana teknik penghindaran malware digunakan untuk mempertahankan dan memastikan kegigihan pada sistem dan bagaimana melindungi dari taktik ini.

Sumber: Business Standard

Microsoft telah menemukan malware baru yang digunakan oleh kelompok peretas Hafnium yang didukung China untuk mempertahankan kegigihan pada sistem Windows yang disusupi dengan membuat dan menyembunyikan tugas terjadwal.

Kelompok ancaman Hafnium sebelumnya menargetkan perusahaan pertahanan, think tank, dan peneliti AS dalam serangan spionase siber.

Ini juga merupakan salah satu grup yang disponsori negara yang dihubungkan oleh Microsoft dengan eksploitasi skala global tahun lalu dari kelemahan zero-day ProxyLogon yang berdampak pada semua versi Microsoft Exchange yang didukung.

“Investigasi lebih lanjut mengungkapkan artefak forensik dari penggunaan alat Impacket untuk gerakan lateral dan eksekusi dan penemuan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas, untuk menyembunyikan tugas terjadwal dari alat identifikasi tradisional.”

Alat peretasan ini, dijuluki Tarrask, menggunakan bug Windows yang sebelumnya tidak dikenal untuk menyembunyikannya dari “schtasks/query” dan Penjadwal Tugas dengan menghapus nilai registri Security Descriptor yang terkait.

Grup ancaman menggunakan tugas terjadwal “tersembunyi” ini untuk mempertahankan akses ke perangkat yang diretas bahkan setelah reboot dengan membuat kembali koneksi yang terputus ke infrastruktur command-and-control (C2).

Sementara operator Hafnium dapat menghapus semua artefak di disk, termasuk semua kunci registri dan file XML yang ditambahkan ke folder sistem untuk menghapus semua jejak aktivitas jahat mereka, itu akan menghapus persistensi saat dimulai ulang.

Menghapus Security Descriptor untuk menyembunyikan tugas terjadwal (Microsoft)

Tugas “tersembunyi” hanya dapat ditemukan setelah pemeriksaan manual Windows Registry yang lebih dekat jika Anda mencari tugas terjadwal tanpa Nilai SD (deskriptor keamanan) di dalam Kunci Tugasnya.

Admin juga dapat mengaktifkan log Security.evtx dan Microsoft-Windows-TaskScheduler/Operational.evtx untuk memeriksa peristiwa penting yang terkait dengan tugas “tersembunyi” menggunakan malware Tarrask.

Microsoft juga merekomendasikan untuk mengaktifkan logging untuk ‘TaskOperational’ dalam log Microsoft-Windows-TaskScheduler/Operational Task Scheduler dan memantau koneksi keluar dari aset Tingkat 0 dan Tingkat 1 yang penting.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Microsoft: Windows Diserang oleh Aktor Ancaman China

Microsoft: Malware baru menggunakan bug Windows untuk menyembunyikan tugas terjadwal

Tarrask

Cookies Settings