「Windowsタスクスケジューラ」を悪用するマルウェア「Tarrask」、中国関与か

Liam Tung (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2022-04-14 15:13

 Microsoftが、中国政府の支援を受けているとみられるハッカー集団が作成したマルウェア「Tarrask」に関する情報を公開している。このマルウェアは、「Windows」マシンを狙い、見えない形でスケジュールされたタスクを作成する。

 Microsoftはハッカー集団「HAFNIUM」の調査を継続する中で、Tarraskが見つかったとしている。2021年に「Microsoft Exchange Server」ハッキングの犯人だとして米国と英国が名指ししていたグループだ。

 Tarraskは、Windowsマシンで不必要にスケジュールしたタスクを作成するシンプルなマルウェアだ。再起動後もPCに残る可能性がある。TarraskはWindowsの「タスクスケジューラ」を悪用する。管理者がブラウザーや他のアプリのソフトウェアアップデートのようなタスクを自動化するために利用できる機能だが、このケースでは攻撃者がタスクスケジューラを不正に悪用している。

 SolarWinds製品を狙ったサプライチェーン攻撃に関与したとみられるロシアのハッカーも、スケジュールされたタスクを利用し、感染したマシンで永続性を確立していた。

 Microsoftは、「当社の研究から、脅威アクターが頻繁にこのサービスを利用し、Windows環境内で永続性を維持していることが分かった」としている。Tarraskが利用するマルウェアの手法は「シンプル」だが効果的だと同社は指摘する。

 Tarraskは、タスクスケジューラのGUI、または「schtasks」コマンドラインユーティリティーのどちらを利用する場合でも、スケジュールされたタスクを作成する際にレジストリキーを生成する。

 Microsoftは2021年より、中国政府の支援を受けたハッカーが、「Zoho ManageEngine」のRest APIの認証回避の脆弱性を狙った多段階の攻撃で、Godzilla Webシェルを利用してWindowsマシンに侵入していたことを確認し、この脆弱性の悪用について追跡していた。

 Microsoftによると、HAFNIUMは2021年8月から2022年2月にかけて、正規のWindowsサービスとZohoの脆弱性の組み合わせを利用し、通信やインターネットサービスプロバイダー(ISP)、データサービス分野の企業を標的にしていたという。以前は、疾病の研究者や法律事務所、高等教育機関、防衛関連企業、政策シンクタンク、非政府組織(NGO)が標的となった

 Tarraskは、スケジュールされたタスクを密かに作成し、そのタスクが検知されないよう追加のアクションもとる。

 Microsoftは、このようなタスクが作成されていないか、レジストリツリーを手作業でチェックして確認する方法を説明している。

 同社は、HAFNIUMが「Windowsサブシステムに関する独自の理解」を深め、その知識を「ありふれた場所に隠れる」のに利用していると説明した。

 HAFNIUMが用いている手法は、それほど頻繁に再起動されないシステムでは特に「問題」になる可能性があるという。例えば、ドメインコントローラーやデータベースサーバーなどの重要なシステムだ。

 Microsoftは、隠されたタスクを確実に検出できるように、管理者が講じるべき対策をいくつか紹介した。

 「こうした攻撃の脅威アクターらは、スケジュールされた隠れタスクを利用して、C&Cインフラとのアウトバウンド通信を定期的に再確立することにより、インターネットから接続できる重要な資産へのアクセスを維持していた。こうした重要なTier0およびTier1の資産からの接続について、確実に監視および警戒し、アウトバウンド通信の異状に注意して監視し続けてほしい」(Microsoft)

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]