Microsoft Umumkan Peretas China Gunakan Malware Baru

Grup peretas Hafnium telah menargetkan sektor telekomunikasi sejak 2021.

Jakub Porzycki/NurPhoto
Seseorang yang berpakaian sebagai peretas internet terlihat dengan kode biner yang ditampilkan di layar laptop dalam foto ilustrasi paparan ganda yang diambil di Krakow, Polandia pada 17 Agustus 2021.
Rep: Noer Qomariah Kusumawardhani  Red: Dwi Murdaningsih

REPUBLIKA.CO.ID, REDMOND -- Microsoft mengumumkan aktor ancaman yang disponsori negara China Hafnium menggunakan malware baru untuk mempertahankan akses pada titik akhir Windows. Tim Deteksi dan Respons Microsoft (DART) mengatakan kelompok itu telah memanfaatkan kerentanan yang sejauh ini tidak diketahui (zero-day) dalam serangannya.

Baca Juga


Microsoft mengatakan sejak Agustus 2021, Hafnium telah menargetkan organisasi di sektor telekomunikasi, penyedia layanan internet, dan layanan data. Microsoft menyimpulkan bahwa grup  peretas tersebut memperluas cakupan minatnya.

 “Investigasi mengungkapkan artefak forensik dari penggunaan alat Impacket menemukan malware penghindaran pertahanan yang disebut Tarrask yang menciptakan tugas terjadwal ‘tersembunyi’, dan tindakan selanjutnya untuk menghapus atribut tugas untuk menyembunyikan tugas terjadwal dari cara identifikasi tradisional,” jelas DART, dilansir dari Techradar, Rabu (13/4/2022).

Menemukan Malware

Tarrask menyembunyikan aktivitasnya dari schtasks /query" dan Task Scheduler, dengan menghapus nilai registri Security Descriptor. Peretas China telah menggunakan tugas tersembunyi ini untuk membangun kembali koneksi ke C2 setelah perangkat dihidupkan ulang.

Salah satu cara untuk menemukan tugas tersembunyi adalah dengan memeriksa Windows registry secara manual untuk tugas terjadwal tanpa Security Descriptor Value di Task Key mereka. Cara lain untuk mengenali malware adalah dengan mengaktifkan Security.evtx dan log Microsoft-Windows-TaskScheduler/Operational.evtx serta mencari peristiwa penting, sehubungan dengan tugas apa pun yang “tersembunyi” menggunakan Tarrask.

Dalam pengumuman yang sama, Microsoft juga menambahkan bahwa Hafnium menargetkan kerentanan bypass otentikasi Zoho Manage Engine Rest API, untuk menempatkan shell web Godzilla dengan properti serupa, sesuatu yang sebelumnya juga ditemukan oleh Unit42.

 

Yuk koleksi buku bacaan berkualitas dari buku Republika ...
Berita Terpopuler