Die von China unterstützte Hackergruppe Hafnium wurde mit einem Teil einer neuen Malware in Verbindung gebracht, die dazu verwendet wird, sich in kompromittierten Windows-Umgebungen zu halten.
Die Bedrohungsakteure sollen von August 2021 bis Februar 2022 Unternehmen aus den Bereichen Telekommunikation, Internetdienstleister und Datendienste ins Visier genommen haben. Dabei gingen sie von den anfänglichen Viktimologiemustern aus, die bei ihren Angriffen zur Ausnutzung der damaligen Zero-Day-Schwachstellen in Microsoft Exchange-Servern im März 2021 beobachtet wurden.
Das Microsoft Threat Intelligence Center (MSTIC), das die Verteidigungsumgehungs-Malware „Tarrask“ nannte, bezeichnete sie als ein Tool, das „versteckte“ geplante Aufgaben auf dem System erstellt. „Der Missbrauch geplanter Aufgaben ist eine weit verbreitete Methode, um die Abwehr zu umgehen – und eine verlockende noch dazu“, so die Forscher.
Hafnium ist zwar vor allem durch Angriffe auf Exchange Server bekannt geworden, hat aber inzwischen auch ungepatchte Zero-Day-Schwachstellen ausgenutzt, um Web-Shells und andere Malware einzuschleusen, wie z. B. Tarrask, das bei der Erstellung neuer geplanter Aufgaben neue Registrierungsschlüssel in den beiden Pfaden Tree und Tasks erstellt.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}
„In diesem Szenario erstellte der Bedrohungsakteur über HackTool:Win64/Tarrask eine geplante Aufgabe namens ‚WinUpdate‘, um unterbrochene Verbindungen zu seiner Command-and-Control (C&C)-Infrastruktur wiederherzustellen“, so die Forscher.
„Dies führte zur Erstellung der im vorigen Abschnitt beschriebenen Registrierungsschlüssel und -werte. Der Bedrohungsakteur löschte jedoch den [Security Descriptor]-Wert innerhalb des Tree-Registrierungspfads.“ Ein Sicherheitsdeskriptor (auch bekannt als SD) definiert die Zugriffskontrollen für die Ausführung der geplanten Aufgabe.
Durch das Löschen des SD-Wertes im oben erwähnten Tree-Registrierungspfad wird die Aufgabe für den Windows-Taskplaner oder das Befehlszeilendienstprogramm schtasks unsichtbar, es sei denn, sie wird manuell durch Navigieren zu den Pfaden im Registrierungseditor überprüft.
„Die Angriffe […] zeigen, wie der Bedrohungsakteur Hafnium ein einzigartiges Verständnis des Windows-Subsystems an den Tag legt und dieses Wissen nutzt, um Aktivitäten auf den betroffenen Endgeräten zu verschleiern, um auf den betroffenen Systemen zu bleiben und sich zu verstecken“, so die Forscher.