Microsoftが、中国政府の支援を受けているとみられるハッカー集団が作成したマルウェア「Tarrask」に関する情報を公開している。このマルウェアは、「Windows」マシンを狙い、見えない形でスケジュールされたタスクを作成する。
Microsoftはハッカー集団「HAFNIUM」の調査を継続する中で、Tarraskが見つかったとしている。2021年に「Microsoft Exchange Server」のハッキングの犯人だとして米国と英国が名指ししていたグループだ。
Tarraskは、Windowsマシンで不必要にスケジュールしたタスクを作成するシンプルなマルウェアだ。再起動後もPCに残る可能性がある。TarraskはWindowsの「タスクスケジューラ」を悪用する。管理者がブラウザーや他のアプリのソフトウェアアップデートのようなタスクを自動化するために利用できる機能だが、このケースでは攻撃者がタスクスケジューラを不正に悪用している。
SolarWinds製品を狙ったサプライチェーン攻撃に関与したとみられるロシアのハッカーも、スケジュールされたタスクを利用し、感染したマシンで永続性を確立していた。
Microsoftは、「当社の研究から、脅威アクターが頻繁にこのサービスを利用し、Windows環境内で永続性を維持していることが分かった」としている。Tarraskが利用するマルウェアの手法は「シンプル」だが効果的だと同社は指摘する。
Tarraskは、タスクスケジューラのGUI、または「schtasks」コマンドラインユーティリティーのどちらを利用する場合でも、スケジュールされたタスクを作成する際にレジストリキーを生成する。
Microsoftは2021年より、中国政府の支援を受けたハッカーが、「Zoho ManageEngine」のRest APIの認証回避の脆弱性を狙った多段階の攻撃で、Godzilla Webシェルを利用してWindowsマシンに侵入していたことを確認し、この脆弱性の悪用について追跡していた。
Microsoftによると、HAFNIUMは2021年8月から2022年2月にかけて、正規のWindowsサービスとZohoの脆弱性の組み合わせを利用し、通信やインターネットサービスプロバイダー(ISP)、データサービス分野の企業を標的にしていたという。以前は、疾病の研究者や法律事務所、高等教育機関、防衛関連企業、政策シンクタンク、非政府組織(NGO)が標的となった。
Tarraskは、スケジュールされたタスクを密かに作成し、そのタスクが検知されないよう追加のアクションもとる。
Microsoftは、このようなタスクが作成されていないか、レジストリツリーを手作業でチェックして確認する方法を説明している。
同社は、HAFNIUMが「Windowsサブシステムに関する独自の理解」を深め、その知識を「ありふれた場所に隠れる」のに利用していると説明した。
HAFNIUMが用いている手法は、それほど頻繁に再起動されないシステムでは特に「問題」になる可能性があるという。例えば、ドメインコントローラーやデータベースサーバーなどの重要なシステムだ。
Microsoftは、隠されたタスクを確実に検出できるように、管理者が講じるべき対策をいくつか紹介した。
「こうした攻撃の脅威アクターらは、スケジュールされた隠れタスクを利用して、C&Cインフラとのアウトバウンド通信を定期的に再確立することにより、インターネットから接続できる重要な資産へのアクセスを維持していた。こうした重要なTier0およびTier1の資産からの接続について、確実に監視および警戒し、アウトバウンド通信の異状に注意して監視し続けてほしい」(Microsoft)
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。