Microsoft avisa: Windows está siendo atacado por un grupo de hackers patrocinado por China

Publicado el 13 abril 2022 por Linuxclick Linuxclick @AngelJRomero21

Según revela la compañía, el ataque proviene de HAFNIUM, un grupo de hackers supuestamente patrocinado por el estado chino, el cual ya consiguió colapsar el año pasado el servicio Microsoft Exchange (250.000 servidores sucumbieron a una ola de ciberataques), especulándose que todos los datos robados durante su colapso ayudará al Gobierno de China a dar grandes avances en innovaciones de Inteligencia Artificial.


Microsoft observó que HAFNIUM, entre agosto de 2021 y febrero de 2022, se dirigía a los sectores de telecomunicaciones, proveedores de servicios de Internet y servicios de datos, ampliando los sectores objetivo observados en sus operaciones anteriores realizadas en la primavera de 2021.

Una investigación más profunda revela artefactos forenses del uso de la herramienta Impacket para el movimiento y la ejecución lateral y el descubrimiento de un malware de evasión de la defensa llamado Tarrask que crea tareas programadas "ocultas", y acciones posteriores para eliminar los atributos de la tarea, para ocultar las tareas programadas de los medios tradicionales de identificación.


Microsoft ha indicado que está siguiendo la actividad de HAFNIUM cuando se trata de nuevos exploits del subsistema de Windows, mientras que Tarrask está diseñado para asegurarse de que los PCs comprometidos sigan siendo vulnerables, empleando un error del Programador de Tareas de Windows para limpiar los rastros y asegurarse de que los artefactos en el disco de las actividades de Tarrask no permanezcan para revelar lo que está sucediendo.

Microsoft tiene recomendaciones de alto nivel sobre cómo combatir Tarrask, que puedes consultar en el blog de la compañía sobre el tema. La guía de ciberresistencia en este caso incluye la modificación de las políticas de auditoría, la comprobación de las tareas programadas sin valores SD, y más.

La compañía también anunció que su antivirus Microsoft Defender Antivirus está al día para detectar estos ataques bajo el nombre de HackTool:Win64/Tarrask!MSR, HackTool:Win64/Ligolo!MSR y Behavior:Win32/ScheduledTaskHide.

Únete a nuestro canal de Telegram para no perderte de ninguna información. 

También puedes seguirnos en nuestras redes sociales: FacebookTwitter, Grupo de Telegram , Dailymotion , RedLinuxClick