윈도우 컴퓨터를 공격하는 중국의 Tarrask 악성코드 발견

Microsoft Exposes Evasive Chinese Tarrask Malware Attacking Windows Computers

 

중국의 지원을 받는 Hafnium 해킹 그룹이 윈도우 환경에서 지속성을 유지하는 데 사용되는 새로운 악성코드와 관련이 있는 것으로 나타났습니다.

 

공격자는 2021년 8월부터 2022년 2월까지 통신, 인터넷 서비스 제공업체 및 데이터 서비스 부문 기관을 노렸으며, 2021년 3월 Microsoft Exchange Server의 제로데이 취약점을 악용하던 공격 중 발견된 초기 패턴을 확장시켰습니다.

 

MSTIC(Microsoft Threat Intelligence Center)에서 방어 회피 악성코드인 "Tarrask"라 명명한 이 악성코드는 시스템에서 "숨겨진" 예약된 작업을 생성하는 툴로 분류되었습니다. 연구원들은 "예약된 작업을 악용하는 것은 지속성을 달성하고 방어 장치를 회피하는 매우 일반적인 방법”이라 밝혔습니다.

 

Hafnium은 Exchange Server 공격으로 알려져 있지만, 이후 패치되지 않은 제로데이 취약점을 초기 벡터로 활용하여 웹 셸 및 Tarrask를 포함한 기타 맬웨어를 드롭했습니다. 이는 새 예약된 작업 생성 시 아래 Tree 및 Tasks 경로에 새로운 레지스트리 키를 생성합니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}

 

"이 시나리오에서, 공격자는 C&C 인프라에 대한 연결이 끊겼을 경우 다시 설정하기 위해 HackTool:Win64/Tarrask를 통해 'WinUpdate'라는 예약된 작업을 생성했습니다."

 

"이로 인해 위에서 설명한 레지스트리 키와 값이 생성되었지만, 공격자는 Tree 레지스트리 경로 내에서 [보안 기술자(Security Descriptor)] 값을 삭제했습니다."

 

보안 기술자(Security Descriptor)는 예약된 작업을 실행하기 위한 접근 제어를 정의합니다.

 

하지만, 앞서 언급한 Tree 레지스트리 경로에서 SD 값을 삭제할 경우 레지스트리 편집기에서 경로를 탐색하여 수동으로 검사하지 않는 한 윈도우 작업 스케줄러 또는 schtasks 명령줄 유틸리티에서 숨겨진 작업으로 이어질 수 있습니다.

 

"이로써 공격자인 Hafnium의 윈도우 하위 시스템에 대한 이해와, 이 전문 지식을 통한 타깃 엔드포인트의 활동을 마스킹해 취약한 시스템에서의 지속성을 유지하고 눈에 띄지 않게 숨는 방법을 알아볼 수 있었습니다.”

 

 

 

 

출처:

https://thehackernews.com/2022/04/microsoft-exposes-evasive-chinese.html

https://www.microsoft.com/security/blog/2022/04/12/tarrask-malware-uses-scheduled-tasks-for-defense-evasion/ (IOC)