REPUBLIKA.CO.ID, REDMOND -- Microsoft mengumumkan aktor ancaman yang disponsori negara China Hafnium menggunakan malware baru untuk mempertahankan akses pada titik akhir Windows. Tim Deteksi dan Respons Microsoft (DART) mengatakan kelompok itu telah memanfaatkan kerentanan yang sejauh ini tidak diketahui (zero-day) dalam serangannya.
Microsoft mengatakan sejak Agustus 2021, Hafnium telah menargetkan organisasi di sektor telekomunikasi, penyedia layanan internet, dan layanan data. Microsoft menyimpulkan bahwa grup peretas tersebut memperluas cakupan minatnya.
“Investigasi mengungkapkan artefak forensik dari penggunaan alat Impacket menemukan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas untuk menyembunyikan tugas terjadwal dari cara identifikasi tradisional,” jelas DART, dilansir dari Techradar, Rabu (13/4/2022).
Menemukan Malware
Tarrask menyembunyikan aktivitasnya dari schtasks /query" dan Task Scheduler, dengan menghapus nilai registri Security Descriptor. Peretas China telah menggunakan tugas tersembunyi ini untuk membangun kembali koneksi ke C2 setelah perangkat dihidupkan ulang.
Salah satu cara untuk menemukan tugas tersembunyi adalah dengan memeriksa Windows registry secara manual untuk tugas terjadwal tanpa Security Descriptor Value di Task Key mereka. Cara lain untuk mengenali malware adalah dengan mengaktifkan Security.evtx dan log Microsoft-Windows-TaskScheduler/Operational.evtx serta mencari peristiwa penting, sehubungan dengan tugas apa pun yang “tersembunyi” menggunakan Tarrask.
Dalam pengumuman yang sama, Microsoft juga menambahkan bahwa Hafnium menargetkan kerentanan bypass otentikasi Zoho Manage Engine Rest API, untuk menempatkan shell web Godzilla dengan properti serupa, sesuatu yang sebelumnya juga ditemukan oleh Unit42.