Microsoft ka zbuluar një malware të ri, të quajtur Tarrask, i shpërndarë nga grupi kinez Hafnium, i njohur mbi të gjitha për kryerjen e një sulmi në shkallë të gjerë duke shfrytëzuar dobësitë e Exchange Server ProxyLogon. Kompania Redmond ka publikuar një artikull që përshkruan se si malware mbetet i fshehur në sistemet Windows.
Tarrask planifikon detyra të fshehura
Programuesi i detyrave të Windows ju lejon të kryeni detyrat e planifikuara, duke treguar veprimet, kushtet dhe datat. Tarrask përdor funksionin për të krijuar aktivitetin “WinUpdate”, i cili padyshim nuk përditëson sistemin operativ, por vendos lidhjen me serverët C2C (komandë dhe kontroll). Kriminelët kibernetikë fshehin gjurmët duke fshirë një vlerë specifike të çelësit të regjistrit që korrespondon me detyrën
Microsoft thekson se grupi Hafnium është i njohur me mënyrën se si funksionon Windows dhe i përdor këto aftësi për të fshehur sulmin dhe për të ruajtur qëndrueshmërinë në Windows. Kompania Redmond thekson se problemi i sigurisë është mjaft serioz për sistemet që rifillojnë rrallë, siç janë kontrolluesit e domenit ose serverët e bazës së të dhënave.
Natyrisht, nuk është e mundur të fshihet planifikuesi, kështu që administratorët e TI-së duhet të ndjekin disa udhëzime sigurie. Microsoft rekomandon ekzaminimin e çelësit të regjistrit HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ TaskCache \ Tree për të gjetur detyra pa vlerën e përshkruesit të sigurisë (SD).
Duhet të aktivizohen gjithashtu dy regjistra (Security.evtx dhe Operational.evtx) që ju lejojnë të gjurmoni ngjarjet që lidhen me aktivitetet e fshehura të malware Tarrask. Së fundi, duhet të monitorohen komunikimet e dyshimta dalëse që tregojnë lidhjen me serverët C2C. Malware zbulohet dhe bllokohet nga Windows Defender për Endpoint dhe Microsoft Sentinel.
Discussion about this post