El famoso grupo de hackers Hafnium introdujo un código malicioso para apuntar a Windows, Microsoft permaneció inmóvil

Pero esta vez, la empresa con sede en Redmond parece estar bien preparada cuando afirma tener información sobre las actividades del hacker. Los expertos en seguridad de Microsoft dicen que Hafnium está utilizando una variedad de malware llamada "Tarrask" para apuntar y debilitar repetidamente la seguridad del sistema operativo Windows en general.

Foto 1 del grupo de piratas informáticos Notorious Hafnium introdujo un código malicioso para apuntar a Windows, Microsoft permaneció inmóvil

En particular, según una investigación preliminar de Microsoft, el equipo de Hafnium usó Tarrask, "malware para evadir la defensa", para eludir la protección de Windows y garantizar entornos comprometidos. Las importaciones siguen siendo vulnerables. Al explicar el problema, el Equipo de Detección y Respuesta de Microsoft (DART) dijo en una publicación de blog:

Durante el monitoreo del agente de amenazas de alta prioridad HAFNIUM, descubrimos que los piratas informáticos abusaban de algunas vulnerabilidades de día cero descubiertas en Windows como vectores iniciales de ataque. Una investigación más profunda reveló indicios del uso del mecanismo Imppacket para implementar actividad maliciosa horizontalmente y encontró un malware que evita la seguridad llamado Tarrask. Crea tareas planificadas "ocultas", con acciones para borrar los atributos de la tarea, para ocultar sus actividades.

Microsoft está monitoreando activamente las actividades de Hafnium y es consciente de que este grupo está abusando de un nuevo exploit dirigido al subsistema de Windows. El malware parece estar explotando un error previamente desconocido en Windows para ocultar el malware de schtasks/query y el Programador de tareas.

El software malicioso evita la detección por parte de las herramientas de seguridad de Windows al eliminar el valor asociado del registro del descriptor de seguridad.

Dejando de lado los términos técnicos, Hafnium puede usar tareas programadas "ocultas" para mantener el acceso a dispositivos comprometidos incluso después de múltiples reinicios. Como con cualquier malware, incluso Tarrask se vuelve a conectar a la Infraestructura de Comando y Control (C2).

El equipo de Microsoft DART no solo emite una advertencia, sino que también recomienda que los usuarios habiliten el registro "TaskOperational" en el registro de Microsoft-Windows-TaskScheduler/Operational Task Scheduler. Esto hará que sea más fácil para los administradores del sistema encontrar conexiones sospechosas de activos importantes de nivel 0 y nivel uno.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!