Le groupe de pirates Hafnium, soutenu par la Chine, a été lié à une partie d’un nouveau logiciel malveillant utilisé pour maintenir la persistance des environnements Windows compromis.
L’acteur de la menace aurait ciblé des entités dans les secteurs des télécommunications, des fournisseurs de services Internet et des services de données entre août 2021 et février 2022, en élargissant les modèles de victimologie initiaux observés lors de ses attaques exploitant les failles de type « zero-day » des serveurs Microsoft Exchange en mars 2021.
Le Microsoft Threat Intelligence Center (MSTIC), qui a baptisé le malware d’évasion de défense « Tarrask », l’a caractérisé comme un outil qui crée des tâches programmées « cachées » sur le système. « L’abus de tâches programmées est une méthode très courante de persistance et d’évasion de défense et une méthode séduisante, en plus », ont déclaré les chercheurs.
Hafnium, bien qu’il soit surtout connu pour ses attaques contre Exchange Server, a depuis exploité des vulnérabilités de type » zero-day » non corrigées comme vecteurs initiaux pour déposer des shells web et d’autres logiciels malveillants, dont Tarrask, qui crée de nouvelles clés de registre dans deux chemins Tree et Tasks lors de la création des tâches planifiées
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}
« Dans ce scénario, l’acteur de la menace a créé une tâche planifiée nommée ‘WinUpdate’ via HackTool:Win64/Tarrask afin de rétablir les connexions perdues avec son infrastructure de commande et de contrôle (C&C)« , expliquent les chercheurs.
« Cela a entraîné la création des clés et valeurs de registre décrites dans la section précédente, mais l’acteur de la menace a supprimé la valeur du [descripteur de sécurité] dans le chemin du registre de l’arbre. » Un descripteur de sécurité (alias SD) définit les contrôles d’accès pour l’exécution de la tâche planifiée.
Mais en effaçant la valeur SD du chemin de registre Tree susmentionné, cela conduit effectivement à la « disparition » de la tâche du planificateur de tâches de Windows ou de l’utilitaire de ligne de commande schtasks, à moins qu’elle ne soit examinée manuellement en naviguant vers les chemins dans l’éditeur de registre.
« Les attaques […] montrent comment l’acteur de la menace Hafnium a une compréhension unique du sous-système Windows et utilise cette expertise pour masquer les activités sur les points finaux ciblés afin de maintenir la persistance sur les systèmes affectés et de se cacher à la vue de tous« , ont déclaré les chercheurs.
Cette divulgation marque la deuxième fois en autant de semaines qu’un mécanisme de persistance basé sur des tâches programmées est mis en lumière. Récemment, Malwarebytes a décrit en détail une méthode « simple mais efficace » adoptée par un malware appelé Colibri, qui consiste à coopter des tâches programmées pour survivre aux redémarrages de la machine et exécuter des charges utiles malveillantes.