Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Microsoft acusa a China sobre los últimos ataques sobre Windows; malware Tarrask


Microsoft ha culpado directamente a China del último ataque que está sufriendo sus sistemas operativos Windows más modernos. Según se indica, los usuarios se están enfrentando a Tarrask, un "malware de evasión de defensa" que utiliza el Programador de Tareas de Windows para ocultar el estado comprometido de un dispositivo de sí mismo.



Tarrask, el malware de HAFNIUM

HAFNIUM está atacando a usuarios de Windows utilizando un malware llamado Tarrask que utiliza el Registro de Tareas de Windows para ocultar que el sistema está comprometido, estando precisamente diseñado para mantener a estos ordenadores vulnerables limpiando su rastro aunque, siempre podemos protegernos gracias a los consejos que nos da la propia compañía en su blog oficial.

Según revela la compañía, el ataque proviene de HAFNIUM, patrocinado por el estado chino, el cual ya consiguió colapsar el año pasado el servicio Microsoft Exchange (250.000 servidores sucumbieron a una ola de ciberataques), especulándose que todos los datos robados durante su colapso ayudará al Gobierno de China a dar grandes avances en innovaciones de Inteligencia Artificial.

Microsoft observó que HAFNIUM, entre agosto de 2021 y febrero de 2022, se dirigía a los sectores de telecomunicaciones, proveedores de servicios de Internet y servicios de datos, ampliando los sectores objetivo observados en sus operaciones anteriores realizadas en la primavera de 2021.

Una investigación más profunda revela artefactos forenses del uso de la herramienta Impacket para el movimiento y la ejecución lateral y el descubrimiento de un malware de evasión de la defensa llamado Tarrask que crea tareas programadas "ocultas", y acciones posteriores para eliminar los atributos de la tarea, para ocultar las tareas programadas de los medios tradicionales de identificación.

Microsoft ha indicado que está siguiendo la actividad de HAFNIUM cuando se trata de nuevos exploits del subsistema de Windows, mientras que Tarrask está diseñado para asegurarse de que los PCs comprometidos sigan siendo vulnerables, empleando un error del Programador de Tareas de Windows para limpiar los rastros y asegurarse de que los artefactos en el disco de las actividades de Tarrask no permanezcan para revelar lo que está sucediendo.

Microsoft tiene recomendaciones de alto nivel sobre cómo combatir Tarrask, que puedes consultar en el blog de la compañía sobre el tema. La guía de ciberresistencia en este caso incluye la modificación de las políticas de auditoría, la comprobación de las tareas programadas sin valores SD, y más.

La compañía también anunció que su antivirus Microsoft Defender Antivirus está al día para detectar estos ataques bajo el nombre de HackTool:Win64/Tarrask!MSR, HackTool:Win64/Ligolo!MSR y Behavior:Win32/ScheduledTaskHide.

Cómo defenderse de los ataques de Tarrask

Las tareas "ocultas" solo se pueden encontrar tras una inspección manual más cercana del Registro de Windows si busca tareas programadas sin un valor SD (descriptor de seguridad) dentro de su clave de tarea.

Los administradores también pueden habilitar los registros Security.evtx y Microsoft-Windows-TaskScheduler / Operational.evtx para verificar eventos clave vinculados a tareas "ocultas" usando el malware Tarrask.

Microsoft también recomienda habilitar el registro para 'TaskOperational' dentro del registro de Microsoft-Windows-TaskScheduler/Operational Task Scheduler y monitorear las conexiones salientes desde activos críticos de nivel 0 y nivel 1.

"Los actores de amenazas en esta campaña utilizaron tareas programadas ocultas para mantener el acceso a los activos críticos expuestos a Internet mediante el restablecimiento regular de las comunicaciones salientes con la infraestructura de C&C", agregó DART.

"Reconocemos que las tareas programadas son una herramienta eficaz para que los adversarios automaticen ciertas tareas mientras logran la persistencia, lo que nos lleva a crear conciencia sobre esta técnica que a menudo se pasa por alto".

Fuentes:

https://elchapuzasinformatico.com/2022/04/microsoft-avisa-windows-esta-siendo-atacado-por-un-grupo-de-hackers-patrocinado-por-china/

https://www.bleepingcomputer.com/news/security/microsoft-new-malware-uses-windows-bug-to-hide-scheduled-tasks/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.