Nuevo malware usa error de Windows para ocultar tareas programadas

Microsoft ha descubierto un nuevo malware utilizado por el grupo Hafnium para mantener la persistencia en los sistemas Windows comprometidos al crear y ocultar tareas programadas.

El grupo de amenazas Hafnium ha apuntado previamente a compañías de defensa, grupos de expertos e investigadores de EE. UU. en ataques de ciberespionaje.

“A medida que Microsoft continúa rastreando al actor de amenazas de alta prioridad Hafnium, se ha descubierto una nueva actividad que aprovecha las vulnerabilidades de día cero sin parchear como vectores iniciales”, dijo el Equipo de Detección y Respuesta de Microsoft (DART).

«Una investigación adicional reveló artefactos forenses como la herramienta Impacket para el movimiento lateral, y la ejecución y descubrimiento de un malware de evasión de defensa llamado Tarrask, el cual crea tareas programadas ‘ocultas’ y acciones posteriores para eliminar los atributos de la tarea, y ocultar las que son programadas de los medios tradicionales de identificación”.

Esta herramienta de piratería, denominada Tarrask, utiliza un error de Windows desconocido para ocultarlos de «schtasks /query» y del Programador de tareas al eliminar el valor de registro del Descriptor de seguridad asociado.

El grupo de amenazas usó estas tareas programadas «ocultas» para mantener el acceso a los dispositivos pirateados incluso después de reiniciarse al restablecer las conexiones interrumpidas a la infraestructura de comando y control (C2).

Si bien los operadores de Hafnium podrían haber eliminado todas sus acciones en el disco, incluidas todas las claves de registro y el archivo XML agregado a la carpeta del sistema para eliminar todos los rastros de su actividad maliciosa, habrían eliminado la persistencia entre reinicios.

Cómo defenderse de los ataques de Tarrask

Las tareas «ocultas» solo se pueden encontrar en una inspección manual en el Registro de Windows.

Los administradores también pueden habilitar los registros Security.evtx y Microsoft-Windows-TaskScheduler/Operational.evtx para verificar eventos clave vinculados a tareas «ocultas» usando el malware Tarrask.

Microsoft también recomienda habilitar el registro para ‘TaskOperational’ dentro del registro de Microsoft-Windows-TaskScheduler/Operational Task Scheduler y monitorear las conexiones salientes desde activos críticos de nivel 0 y nivel 1.

«Los actores de amenazas en esta campaña utilizaron tareas programadas ocultas para mantener el acceso a los activos críticos expuestos a Internet mediante el restablecimiento regular de las comunicaciones salientes con la infraestructura de C&C», agregó DART.

«Reconocemos que las tareas programadas son una herramienta eficaz para que los adversarios automaticen ciertas tareas mientras logran la persistencia, lo que nos lleva a crear conciencia sobre esta técnica que a menudo se pasa por alto».