Microsoft ha reso noto che, nel proseguire la sua azione di tracciamento dell’attore di minacce sponsorizzato dallo stato e ad alta priorità Hafnium, ha scoperto una nuova attività che sfrutta vulnerabilità zero-day non patchate come vettori iniziali.
Il Microsoft Detection and Response Team (DART), in collaborazione con il Microsoft Threat Intelligence Center (MSTIC), ha identificato un attacco multi-stage.
Questo attacco prende di mira la vulnerabilità di bypass dell’autenticazione dell’API Rest di Zoho ManageEngine per impiantare inizialmente una shell web Godzilla con proprietà simili a quelle dettagliate dal team Unit42 di Palo Alto Networks in un blog precedente.
Microsoft ha affermato di aver osservato Hafnium, da agosto 2021 a febbraio 2022, prendere di mira realtà nei settori delle telecomunicazioni e dei servizi dati, così come Internet service provider, espandendo le attività osservate nelle precedenti operazioni condotte nella primavera 2021.
Ulteriori indagini da parte dei team di Microsoft hanno rivelato artefatti forensi dell’uso di Impacket per il movimento laterale e l’esecuzione.
Inoltre, hanno portato alla scoperta di un malware di defense evasion chiamato Tarrask che crea scheduled task “nascosti”; nonché di successive azioni per rimuovere gli attributi dei task, per nasconderli dai mezzi tradizionali di identificazione.
Sul proprio blog dedicato alla cybersecurity, Microsoft delinea la semplicità della tecnica malware che Tarrask utilizza, sottolineando che l’abuso di attività programmate è un metodo molto comune di persistenza e di evasione della difesa.
Nel post, il team di Microsoft dimostra anche come gli attori delle minacce creano scheduled task, come coprono le loro tracce, come le tecniche di evasione del malware vengono utilizzate per mantenere e garantire la persistenza sui sistemi e come proteggersi da questa tattica.
I job o task scheduler – ha sottolineato Microsoft – sono servizi presenti nel sistema operativo Windows da molti anni.
Questi attacchi indicano come l’attore di cyber-threat Hafnium mostri una comprensione unica del sottosistema Windows e usi questa esperienza per mascherare le attività sugli endpoint target, per mantenere la persistenza sui sistemi colpiti e nascondersi in piena vista.
Microsoft ha anche affermato di riconoscere che gli scheduled task sono uno strumento efficace per i cyber-attacker per automatizzare alcune attività mentre raggiungono la persistenza, il che porta la società di Redmond a voler aumentare la consapevolezza su questa tecnica spesso trascurata.
Microsoft intende anche puntare l’attenzione sul fatto che gli attori delle minacce potrebbero utilizzare questo metodo per mantenere l’accesso a obiettivi di alto valore in un modo che probabilmente non sarà rilevato.
Questo potrebbe essere particolarmente problematico per i sistemi che vengono riavviati di rado: ad esempio, sistemi critici come controller di dominio, server di database e così via.
