「Windowsタスクスケジューラ」を悪用するマルウェア「Tarrask」、中国関与か

今回は「「Windowsタスクスケジューラ」を悪用するマルウェア「Tarrask」、中国関与か」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftが、中国政府の支援を受けているとみられるハッカー集団が作成したマルウェア「Tarrask」に関する情報を公開している。このマルウェアは、「Windows」マシンを狙い、見えない形でスケジュールされたタスクを作成する。

 Microsoftはハッカー集団「HAFNIUM」の調査を継続する中で、Tarraskが見つかったとしている。2021年に「Microsoft Exchange Server」のハッキングの犯人だとして米国と英国が名指ししていたグループだ。

 Tarraskは、Windowsマシンで不必要にスケジュールしたタスクを作成するシンプルなマルウェアだ。再起動後もPCに残る可能性がある。TarraskはWindowsの「タスクスケジューラ」を悪用する。管理者がブラウザーや他のアプリのソフトウェアアップデートのようなタスクを自動化するために利用できる機能だが、このケースでは攻撃者がタスクスケジューラを不正に悪用している。

 SolarWinds製品を狙ったサプライチェーン攻撃に関与したとみられるロシアのハッカーも、スケジュールされたタスクを利用し、感染したマシンで永続性を確立していた。

 Microsoftは、「当社の研究から、脅威アクターが頻繁にこのサービスを利用し、Windows環境内で永続性を維持していることが分かった」としている。Tarraskが利用するマルウェアの手法は「シンプル」だが効果的だと同社は指摘する。

 Tarraskは、タスクスケジューラのGUI、または「schtasks」コマンドラインユーティリティーのどちらを利用する場合でも、スケジュールされたタスクを作成する際にレジストリキーを生成する。

 Microsoftは2021年より、中国政府の支援を受けたハッカーが、「Zoho ManageEngine」のRest APIの認証回避の脆弱性を狙った多段階の攻撃で、Godzilla Webシェルを利用してWindowsマシンに侵入していたことを確認し、この脆弱性の悪用について追跡していた。

 Microsoftによると、HAFNIUMは2021年8月から2022年2月にかけて、正規のWindowsサービスとZohoの脆弱性の組み合わせを利用し、通信やインターネットサービスプロバイダー(ISP)、データサービス分野の企業を標的にしていたという。以前は、疾病の研究者や法律事務所、高等教育機関、防衛関連企業、政策シンクタンク、非政府組織(NGO)が標的となった。

 Tarraskは、スケジュールされたタスクを密かに作成し、そのタスクが検知されないよう追加のアクションもとる。

 Microsoftは、このようなタスクが作成されていないか、レジストリツリーを手作業でチェックして確認する方法を説明している。

 同社は、HAFNIUMが「Windowsサブシステムに関する独自の理解」を深め、その知識を「ありふれた場所に隠れる」のに利用していると説明した。

 HAFNIUMが用いている手法は、それほど頻繁に再起動されないシステムでは特に「問題」になる可能性があるという。例えば、ドメインコントローラーやデータベースサーバーなどの重要なシステムだ。

 Microsoftは、隠されたタスクを確実に検出できるように、管理者が講じるべき対策をいくつか紹介した。

 「こうした攻撃の脅威アクターらは、スケジュールされた隠れタスクを利用して、C&Cインフラとのアウトバウンド通信を定期的に再確立することにより、インターネットから接続できる重要な資産へのアクセスを維持していた。こうした重要なTier0およびTier1の資産からの接続について、確実に監視および警戒し、アウトバウンド通信の異状に注意して監視し続けてほしい」(Microsoft)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「HCP Terraform」、ノーコード・モジュール・バージョン・アップグレードを一般提供
IT関連
2024-04-26 06:48
CES 2021プレスカンファレンス映像を「格付け」する (1/4)
くわしく
2021-01-22 05:21
「Linux 5.17」正式リリース–セキュリティ修正やドライバー改善など
IT関連
2022-03-24 16:33
NTTデータ経営研究所ら、高知県のゆず農園でローカル5Gを用いたスマート農業実証を開始
IT関連
2023-01-12 03:46
コロナ禍でのクラウド導入、日本は世界28カ国で最下位 「IT投資をコストと考えがち」
クラウドユーザー
2021-01-21 03:11
ゼロトラストセキュリティに向けてマイクロセグメントを–アカマイが訴求
IT関連
2022-05-19 09:31
AWS、臨床文書の生成を支援する医療ソフトウェア企業向けサービス発表
IT関連
2023-08-02 07:01
PureStorage、Storage-as-a-Serviceでランサムウェア攻撃からのリカバリ契約を拡大した「サイバーリカバリー&レジリエンスSLA」など発表
ストレージ
2024-06-21 03:57
Vade、セキュリティトレーニングサービスを発表–AIで訓練実施や評価などを自動化
IT関連
2024-10-10 16:46
DX施策の目標設定と実行–KPIと役割を明確にして進める
IT関連
2022-07-14 20:47
統計から見る「テレビのオリンピック需要」幻想と「日本のテレビの20年」 (1/4 ページ)
くわしく
2021-07-30 05:03
ラックとヴイエムウェア、仮想環境への不正通信に対応するセキュリティサービスを開始
IT関連
2022-01-19 11:16
15のメッセージングサービスを1アプリで使える「Beeper」登場 Androidで「iMessage」も
アプリ・Web
2021-01-23 08:45
マルウェア「Emotet」、感染ホストから一斉削除へ–蘭警察がアップデート配信
IT関連
2021-01-28 09:00