Microsoft ha scoperto un nuovo malware, denominato Tarrask, distribuito dal gruppo cinese Hafnium, noto soprattutto per aver effettuato un attacco su larga scala sfruttando le vulnerabilità ProxyLogon di Exchange Server. L’azienda di Redmond ha pubblicato un articolo per descrivere come il malware rimane nascosto sui sistemi Windows.
Tarrask pianifica attività nascoste
Il Task Scheduler (Utilità di pianificazione) di Windows permette di effettuare attività pianificate, indicando azioni, condizioni e data. Tarrask sfrutta la funzionalità per creare l’attività “WinUpdate” che ovviamente non effettua l’aggiornamento del sistema operativo, ma stabilisce il collegamento con i server C2C (command and control). I cybercriminali nascondono le tracce eliminando uno specifico valore della chiave di registro corrispondente al task.
Microsoft sottolinea che il gruppo Hafnium conosce bene il funzionamento di Windows e usa queste competenze per nascondere l’attacco e mantenere la persistenza in Windows. L’azienda di Redmond evidenzia che il problema di sicurezza è piuttosto grave per i sistemi che vengono raramente riavviati, come i controller di dominio o i database server.
Ovviamente non è possibile eliminare l’utilità di pianificazione, pertanto gli amministratori IT dovrebbero seguire alcune linee guida di sicurezza. Microsoft consiglia di esaminare la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
per individuare i task senza il valore SD (security descriptor).
Devono essere anche attivati due log (Security.evtx e Operational.evtx) che permettono di tracciare gli eventi legati alle attività nascoste del malware Tarrask. Infine è necessario monitorare comunicazioni sospette in uscita che indicano il collegamento ai server C2C. Il malware viene rilevato e bloccato da Windows Defender for Endpoint e da Microsoft Sentinel.