Windows : un malware chinois s’en prend aux utilisateurs

Louis Touzalin
Louis Touzalin
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.

Le groupe de pirates Hafnium, soutenu par la Chine, a été lié à une partie d’un nouveau logiciel malveillant utilisé pour maintenir la persistance des environnements Windows compromis.

L’acteur de la menace aurait ciblé des entités dans les secteurs des télécommunications, des fournisseurs de services Internet et des services de données entre août 2021 et février 2022, en élargissant les modèles de victimologie initiaux observés lors de ses attaques exploitant les failles de type « zero-day » des serveurs Microsoft Exchange en mars 2021.

Le Microsoft Threat Intelligence Center (MSTIC), qui a baptisé le malware d’évasion de défense « Tarrask », l’a caractérisé comme un outil qui crée des tâches programmées « cachées » sur le système. « L’abus de tâches programmées est une méthode très courante de persistance et d’évasion de défense et une méthode séduisante, en plus », ont déclaré les chercheurs.

D'autres articles intéressants

iPad Mini 6 : Des performances moins bonnes que l’iPhone 13 ?
Fonctionnalités incontournables dont il faut profiter en tant que Pro de TradingView
Les AirPods Pro sont une alternative à des aides auditives
Le premier prototype Apple-1 vendu 700 000 dollars
Nothing propose iMessage sur ses smartphones Android

Hafnium, bien qu’il soit surtout connu pour ses attaques contre Exchange Server, a depuis exploité des vulnérabilités de type  » zero-day  » non corrigées comme vecteurs initiaux pour déposer des shells web et d’autres logiciels malveillants, dont Tarrask, qui crée de nouvelles clés de registre dans deux chemins Tree et Tasks lors de la création des tâches planifiées

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

« Dans ce scénario, l’acteur de la menace a créé une tâche planifiée nommée ‘WinUpdate’ via HackTool:Win64/Tarrask afin de rétablir les connexions perdues avec son infrastructure de commande et de contrôle (C&C)« , expliquent les chercheurs.

Windows

« Cela a entraîné la création des clés et valeurs de registre décrites dans la section précédente, mais l’acteur de la menace a supprimé la valeur du [descripteur de sécurité] dans le chemin du registre de l’arbre. » Un descripteur de sécurité (alias SD) définit les contrôles d’accès pour l’exécution de la tâche planifiée.

Mais en effaçant la valeur SD du chemin de registre Tree susmentionné, cela conduit effectivement à la « disparition » de la tâche du planificateur de tâches de Windows ou de l’utilitaire de ligne de commande schtasks, à moins qu’elle ne soit examinée manuellement en naviguant vers les chemins dans l’éditeur de registre.

« Les attaques […] montrent comment l’acteur de la menace Hafnium a une compréhension unique du sous-système Windows et utilise cette expertise pour masquer les activités sur les points finaux ciblés afin de maintenir la persistance sur les systèmes affectés et de se cacher à la vue de tous« , ont déclaré les chercheurs.

Cette divulgation marque la deuxième fois en autant de semaines qu’un mécanisme de persistance basé sur des tâches programmées est mis en lumière. Récemment, Malwarebytes a décrit en détail une méthode « simple mais efficace » adoptée par un malware appelé Colibri, qui consiste à coopter des tâches programmées pour survivre aux redémarrages de la machine et exécuter des charges utiles malveillantes.

0/5 (0 Reviews)
Partager cet article
Laisser une note

Laisser une note

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notre partenaire

H9 Banner 300x600 FR

Réseaux sociaux

Vous aimerez aussi ...