微软曝光攻击Windows电脑的中国Tarrask恶意软件

这家由中国支持的铪黑客组织与一种新的恶意软件有关，该软件用于在受损的Windows环境中保持持久性。

据称，从2021 8月至2022年2月，该威胁行为体针对电信、互联网服务提供商和数据服务部门的实体，从2021 3月攻击微软Exchange服务器时发现的最初受害者模式进行扩展。

微软威胁情报中心（MSTIC），称其为“防御规避恶意软件”塔拉斯克，将其描述为在系统上创建“隐藏”计划任务的工具计划任务滥用是一种非常常见的持久性和防御规避方法#8212；研究人员说：“这是一个诱人的例子。”。

Hafnium虽然在Exchange Server攻击中最为著名，但后来利用未修补的零日漏洞作为初始向量，投放web shell和其他恶意软件，包括Tarrask，它在创建计划任务时在两条路径树和任务中创建新的注册表项-

• HKEY\U LOCAL\U MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK\U名称
• HKEY\U LOCAL\U MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks \{GUID}

研究人员说：“在这种情况下，威胁参与者通过HackTool:Win64/Tarrask创建了一个名为‘WinUpdate’的计划任务，以便重新建立与他们的指挥与控制（C&C）基础设施的任何中断连接。”。

“这导致创建了前面部分中描述的注册表项和值，但是，威胁参与者删除了树注册表路径中的[安全描述符]值。”安全描述符（又名SD）定义用于运行计划任务的访问控制。

但通过从上述树注册表路径中删除SD值，它实际上会导致任务从Windows任务调度器或schtasks命令行实用程序中“消失”，除非通过导航到注册表编辑器中的路径手动检查。

“袭击[……]研究人员说：“这表明威胁行为体铪如何对Windows子系统表现出独特的理解，并利用这种专业知识掩盖目标端点上的活动，以保持受影响系统的持久性，并隐藏在显而易见的地方。”。

这一披露标志着计划的基于任务的持久化机制在数周内第二次曝光。最近，Malwarebytes详细介绍了一种名为Colibri的恶意软件所采用的“简单但高效”的方法，该方法涉及选择计划任务以在机器重新启动后生存并执行恶意有效负载。