Microsoft bije na alarm: chiński malware Tarrask atakuje Windows

Microsoft bije na alarm: chiński malware Tarrask atakuje Windows

Autor: Krzysztof Sulikowski

Opublikowano: 4/13/2022, 4:15 PM

Liczba odsłon: 2096

Microsoft ostrzega: Windows jest atakowany przez chińskich cyberprzestępców wykorzystujących zakamuflowane złośliwe oprogramowanie. Zagrożenie nosi nazwę Tarrask i potrafi omijać zabezpieczenia, wykorzystując Harmonogram zadań w Windows do ukrywania stanu naruszenia.

Źródłem ataków jest Hafnium, sponsorowana przez państwo, chińska grupa hakerów, która stała się znana m.in. z ataków na serwery Microsoft Exchange w 2021 roku. Podejrzewa się, że dane zebrane podczas tej próby są paliwem dla sztucznej inteligencji rządu chińskiego. Microsoft śledzi działalność tej grupy i podaje parę nowych informacji. Hafnium używa złośliwego oprogramowania Tarrask, które wykorzystuje Harmonogram zadań, aby zacierać ślady swojej aktywności.

Edytor rejestru Windows 10

Harmonogram zadań to usługa w Windows, która pozwala użytkownikom wykonywać zautomatyzowane zadania, takie jak np. aktualizacje przeglądarek i innych aplikacji. Microsoft odkrył jednak, że cyberprzestępcy wykorzystują tę usługę do własnych celów. Odnotowaliśmy, że złośliwe oprogramowanie Tarrask generuje szereg artefaktów podczas tworzenia planowanego zadania, czy to używając GUI Harmonogramu zadań, czy narzędzia wiersza poleceń schtasks. Profilowanie użycia tych narzędzi może pomóc śledczym w namierzeniu tego mechanizmu trwałości [persistence mechanism] — czytamy w poście Detection and Response Team (DART) i Microsoft Threat Intelligence Center (MSTIC).

Malware wykrywane jest przez Microsoft Defender Antivirus (Microsoft Defender for Endpoint) jako HackTool:Win64/Tarrask!MSR, HackTool:Win64/Ligolo!MSR i Behavior:Win32/ScheduledTaskHide.A. Z kolei użytkownicy Microsoft Sentinel Detections mogą namierzać jego aktywność za pomocą specjalnych zapytań.