「Windowsタスクスケジューラ」を悪用するマルウェア「Tarrask」、中国関与か

今回は「「Windowsタスクスケジューラ」を悪用するマルウェア「Tarrask」、中国関与か」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftが、中国政府の支援を受けているとみられるハッカー集団が作成したマルウェア「Tarrask」に関する情報を公開している。このマルウェアは、「Windows」マシンを狙い、見えない形でスケジュールされたタスクを作成する。

 Microsoftはハッカー集団「HAFNIUM」の調査を継続する中で、Tarraskが見つかったとしている。2021年に「Microsoft Exchange Server」のハッキングの犯人だとして米国と英国が名指ししていたグループだ。

 Tarraskは、Windowsマシンで不必要にスケジュールしたタスクを作成するシンプルなマルウェアだ。再起動後もPCに残る可能性がある。TarraskはWindowsの「タスクスケジューラ」を悪用する。管理者がブラウザーや他のアプリのソフトウェアアップデートのようなタスクを自動化するために利用できる機能だが、このケースでは攻撃者がタスクスケジューラを不正に悪用している。

 SolarWinds製品を狙ったサプライチェーン攻撃に関与したとみられるロシアのハッカーも、スケジュールされたタスクを利用し、感染したマシンで永続性を確立していた。

 Microsoftは、「当社の研究から、脅威アクターが頻繁にこのサービスを利用し、Windows環境内で永続性を維持していることが分かった」としている。Tarraskが利用するマルウェアの手法は「シンプル」だが効果的だと同社は指摘する。

 Tarraskは、タスクスケジューラのGUI、または「schtasks」コマンドラインユーティリティーのどちらを利用する場合でも、スケジュールされたタスクを作成する際にレジストリキーを生成する。

 Microsoftは2021年より、中国政府の支援を受けたハッカーが、「Zoho ManageEngine」のRest APIの認証回避の脆弱性を狙った多段階の攻撃で、Godzilla Webシェルを利用してWindowsマシンに侵入していたことを確認し、この脆弱性の悪用について追跡していた。

 Microsoftによると、HAFNIUMは2021年8月から2022年2月にかけて、正規のWindowsサービスとZohoの脆弱性の組み合わせを利用し、通信やインターネットサービスプロバイダー(ISP)、データサービス分野の企業を標的にしていたという。以前は、疾病の研究者や法律事務所、高等教育機関、防衛関連企業、政策シンクタンク、非政府組織(NGO)が標的となった。

 Tarraskは、スケジュールされたタスクを密かに作成し、そのタスクが検知されないよう追加のアクションもとる。

 Microsoftは、このようなタスクが作成されていないか、レジストリツリーを手作業でチェックして確認する方法を説明している。

 同社は、HAFNIUMが「Windowsサブシステムに関する独自の理解」を深め、その知識を「ありふれた場所に隠れる」のに利用していると説明した。

 HAFNIUMが用いている手法は、それほど頻繁に再起動されないシステムでは特に「問題」になる可能性があるという。例えば、ドメインコントローラーやデータベースサーバーなどの重要なシステムだ。

 Microsoftは、隠されたタスクを確実に検出できるように、管理者が講じるべき対策をいくつか紹介した。

 「こうした攻撃の脅威アクターらは、スケジュールされた隠れタスクを利用して、C&Cインフラとのアウトバウンド通信を定期的に再確立することにより、インターネットから接続できる重要な資産へのアクセスを維持していた。こうした重要なTier0およびTier1の資産からの接続について、確実に監視および警戒し、アウトバウンド通信の異状に注意して監視し続けてほしい」(Microsoft)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
"国家の利益のため"活動する中国の脅威アクター、東南アジアの大手通信事業者狙う–Cybereason報告
IT関連
2021-08-06 10:09
AIチャットbotを200件のデータで構築 従来の60分の1に 「りんな」開発元が新技術
ロボット・AI
2021-01-26 18:52
Valveの携帯ゲームPC「Steam Deck」の分解動画をiFixitが公開、SSDやアナログスティックは交換しやすい設計
IT関連
2022-02-17 12:35
freee、個人情報約3000件が閲覧可能な状態に Salesforce製品の設定ミス
クラウドユーザー
2021-02-11 15:26
Veeam、「Veeam Backup for Microsoft 365 v6」を提供開始
IT関連
2022-03-13 15:32
SMBCグループと日本総研、NECが量子アニーリングの業務活用に向け共同研究
IT関連
2021-03-24 22:32
約1億円を調達したテクニカルセールス向け生産性プラットフォームのHubが公開
ソフトウェア
2021-03-31 19:22
フォードが「実質的にすべて」の車載コンピューターのソフトを無線でアップデートできる機能を発表
モビリティ
2021-05-16 09:30
コロナワクチン接種証明アプリ、ニューヨーク州が提供開始 IBMによるブロックチェーンシステム採用
ブロックチェーン導入事例
2021-03-30 22:28
ハカルス、「AI+ロボ+照明付きカメラ」一体型の外観検査システムを販売開始
IT関連
2022-03-30 00:29
グーグル「Chrome」の悪用確認された脆弱性修正、アップデートを–マイクロソフト「Edge」も
IT関連
2022-03-30 07:45
第3回:依存関係かく乱攻撃と敵対的乗っ取り–企業が直面する課題と対策
IT関連
2021-07-20 04:03
Google、「Workspace」に関し“誰でも無料に”、「Room」を「Spaces」に、などの発表
アプリ・Web
2021-06-16 00:07
Zuora、「Real-Time Revenue for Zuora Revenue」を提供–決算即日完了を支援
IT関連
2022-04-12 17:41