Een groep aanvallers die verantwoordelijk was voor de grote Exchange-aanval van vorig jaar en ook andere zerodaylekken heeft gebruikt om toegang tot organisaties te krijgen, maakt gebruik van "verborgen" geplande taken om toegang tot hun slachtoffers te behouden, zo laat Microsoft weten. Volgens het techbedrijf waren het afgelopen jaar onder andere telecombedrijven, internetproviders en datadiensten het doelwit van de groep, die Hafnium wordt genoemd.
Bij slachtoffers ontdekte Microsoft een malware-exemplaar genaamd Tarrask dat via de Windows Task Scheduler taken aanmaakt om toegang tot de computer te behouden. Via de Taakplanner is het mogelijk om allerlei taken uit te voeren. De malware gebruikt dit echter als een "persistence mechanism", zo laat Microsoft weten. Zo worden bij het aanmaken van een nieuwe taak verschillende registersleutels aangemaakt.
Om detectie van deze taak te voorkomen verwijdert de malware de SD-waarde van de registersleutel. SD staat voor Security Descriptor en bepaalt welke gebruikers de betreffende taak kunnen uitvoeren. Door het verwijderen van de SD-waarde verdwijnt de taak uit de Taakplanner en de schtasks command line tool. De taak is in principe verborgen, tenzij het betreffende registerpad handmatig wordt bekeken, aldus Microsoft.
Volgens het techbedrijf laat het gebruik van de Windows Taakplanner op deze manier zien dat de Hafnium-groep een unieke kennis van het Windows-subsysteem heeft en deze expertise gebruikt om de activiteiten op besmette systemen te verbergen en toegang te behouden. "We erkennen dat geplande taken een effectieve tool voor aanvallers zijn om bepaalde taken te automatiseren om persistentie te bereiken", aldus Microsoft, dat met de nu gepubliceerde blogposting meer bewustzijn over deze techniek wil creëren. Daarnaast geeft het techbedrijf tips om de beschreven activiteiten van de Hafnium-groep te detecteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.