「Windowsタスクスケジューラ」を悪用するマルウェア「Tarrask」、中国関与か

今回は「「Windowsタスクスケジューラ」を悪用するマルウェア「Tarrask」、中国関与か」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftが、中国政府の支援を受けているとみられるハッカー集団が作成したマルウェア「Tarrask」に関する情報を公開している。このマルウェアは、「Windows」マシンを狙い、見えない形でスケジュールされたタスクを作成する。

 Microsoftはハッカー集団「HAFNIUM」の調査を継続する中で、Tarraskが見つかったとしている。2021年に「Microsoft Exchange Server」のハッキングの犯人だとして米国と英国が名指ししていたグループだ。

 Tarraskは、Windowsマシンで不必要にスケジュールしたタスクを作成するシンプルなマルウェアだ。再起動後もPCに残る可能性がある。TarraskはWindowsの「タスクスケジューラ」を悪用する。管理者がブラウザーや他のアプリのソフトウェアアップデートのようなタスクを自動化するために利用できる機能だが、このケースでは攻撃者がタスクスケジューラを不正に悪用している。

 SolarWinds製品を狙ったサプライチェーン攻撃に関与したとみられるロシアのハッカーも、スケジュールされたタスクを利用し、感染したマシンで永続性を確立していた。

 Microsoftは、「当社の研究から、脅威アクターが頻繁にこのサービスを利用し、Windows環境内で永続性を維持していることが分かった」としている。Tarraskが利用するマルウェアの手法は「シンプル」だが効果的だと同社は指摘する。

 Tarraskは、タスクスケジューラのGUI、または「schtasks」コマンドラインユーティリティーのどちらを利用する場合でも、スケジュールされたタスクを作成する際にレジストリキーを生成する。

 Microsoftは2021年より、中国政府の支援を受けたハッカーが、「Zoho ManageEngine」のRest APIの認証回避の脆弱性を狙った多段階の攻撃で、Godzilla Webシェルを利用してWindowsマシンに侵入していたことを確認し、この脆弱性の悪用について追跡していた。

 Microsoftによると、HAFNIUMは2021年8月から2022年2月にかけて、正規のWindowsサービスとZohoの脆弱性の組み合わせを利用し、通信やインターネットサービスプロバイダー(ISP)、データサービス分野の企業を標的にしていたという。以前は、疾病の研究者や法律事務所、高等教育機関、防衛関連企業、政策シンクタンク、非政府組織(NGO)が標的となった。

 Tarraskは、スケジュールされたタスクを密かに作成し、そのタスクが検知されないよう追加のアクションもとる。

 Microsoftは、このようなタスクが作成されていないか、レジストリツリーを手作業でチェックして確認する方法を説明している。

 同社は、HAFNIUMが「Windowsサブシステムに関する独自の理解」を深め、その知識を「ありふれた場所に隠れる」のに利用していると説明した。

 HAFNIUMが用いている手法は、それほど頻繁に再起動されないシステムでは特に「問題」になる可能性があるという。例えば、ドメインコントローラーやデータベースサーバーなどの重要なシステムだ。

 Microsoftは、隠されたタスクを確実に検出できるように、管理者が講じるべき対策をいくつか紹介した。

 「こうした攻撃の脅威アクターらは、スケジュールされた隠れタスクを利用して、C&Cインフラとのアウトバウンド通信を定期的に再確立することにより、インターネットから接続できる重要な資産へのアクセスを維持していた。こうした重要なTier0およびTier1の資産からの接続について、確実に監視および警戒し、アウトバウンド通信の異状に注意して監視し続けてほしい」(Microsoft)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ホームオートメーションプラットフォームSpaceCore提供のアクセルラボが7億円調達、人材採用・開発強化
IT関連
2022-01-18 14:20
HPE、「Ezmeral」ポートフォリオを拡充
IT関連
2021-03-18 00:35
IT人材の給与、DXを背景にバブルの様相
IT関連
2022-02-08 17:24
割り勘アプリのSplitwiseがシリーズAで約22億円を調達
フィンテック
2021-05-01 22:40
企業のクラウドセキュリティは厳しい–パロアルトネットワークスが実態調査
IT関連
2023-06-03 13:05
フェイスブックがトランプ前大統領の利用を2年間禁止に、有名人の利用禁止措置ルールも変更
ネットサービス
2021-06-06 10:22
GitHub、「GitHub Copilot Chat」を12月に一般提供–エンタープライズ向けサービスも強化
IT関連
2023-11-10 23:51
MyHeritageが古い家族写真をディープフェイク技術でアニメーション化
人工知能・AI
2021-02-28 19:15
コロナ禍、就活生“明暗” デジタル人材は引く手あまた
IT関連
2021-06-02 01:30
2nmロジック半導体の開発は順調–TSMCが技術状況を説明
IT関連
2023-07-04 16:17
福島銀行、AWSで稼働する新勘定系システムの運用を開始
IT関連
2024-07-19 14:37
MosaicがGCからシリーズAで1850万ドルを調達、CFOソフトウェアスタックの再構築を目指す
IT関連
2021-02-27 23:22
「常識」獲得に向け少しずつ進化するコンピュータービジョン、フェイスブックの最新研究
人工知能・AI
2021-05-04 15:39
SMBを取り巻く環境–調査結果から浮き彫りになる課題と活用すべき技術
IT関連
2022-06-25 21:01