HAFNIUM APT ontketent de Tarrask-malware

Een Advanced Persistent Threat (APT)-acteur die wordt gevolgd onder de alias HAFNIUM, werkt met een nieuw stuk malware genaamd Tarrask. De Tarrask Malware lijkt een op maat ontwikkeld implantaat te zijn, dat wordt gedistribueerd naar kwetsbare netwerken door het gebruik van zero-day-kwetsbaarheden die nog moeten worden gepatcht. Natuurlijk is het slechts een kwestie van tijd voor getroffen leveranciers om kritieke beveiligingsoplossingen vrij te geven, die de infectievectoren waarop de Tarrask Malware-operators kunnen vertrouwen, ernstig zouden beperken.

Om persistentie op geïnfecteerde machines te krijgen, maakt de Tarrask Malware misbruik van de Windows Taakplanner-service. Meestal is het doel ervan om programma's in staat te stellen de uitvoering van bepaalde taken te automatiseren en dit zorgt er toevallig voor dat malware gemakkelijk persistent wordt. De Tarrask-malware is echter in staat om de geplande taken op een meer geavanceerde manier te manipuleren om hun ware doel te verbergen en de zichtbare sporen die achterblijven te minimaliseren. Als de Tarrask-malware wordt uitgevoerd vanaf een account met beheerdersrechten, kan het de Taakplanner op zo'n manier manipuleren dat het onmogelijk wordt om de nep geplande taken te ontdekken.

De manier waarop de Tarrask-malware erin slaagt Windows-functies te gebruiken om zijn aanwezigheid te verbergen, is fascinerend en laat zien dat de HAFNIUM-hackers goed thuis zijn in het Windows-besturingssysteem. Systeembeheerders kunnen zorgen voor bescherming tegen de Tarrask-malware door gebruik te maken van gerenommeerde antivirusoplossingen en door ervoor te zorgen dat alle software en services regelmatig worden gepatcht, waardoor de kans dat kwetsbaarheden worden misbruikt, wordt geminimaliseerd.