Hafnium-Gruppe wieder da:
Windows wird über Zero-Days angegriffen

Die Security-Teams bei Microsoft haben es einmal mehr mit der Hafnium-Gruppe zu tun. Diese nimmt aktuell Windows-Systeme mit einer neuen Malware unter Beschuss, die einige recht hinterhältige Features mit sich bringt. Hafnium ist für die Redmonder Spezialisten keine Unbekannte. Die Gruppe tat sich vor einiger Zeit bereits mit Angriffen auf Exchange-Server hervor und die dabei genutzten Ressourcen lassen den Schluss zu, dass die Täter auf staatliche Strukturen zurückgreifen können. Dafür spricht auch, dass die von den Angreifern eingesetzte Malware weniger auf die Masse der Nutzer als auf konkretere Ziele ausgerichtet ist.

Aktuell setzt Hafnium auf eine als Tarrask bezeichnete Malware, teilte Microsoft mit. Diese nutzt Exploits gegen Zero-Day-Lücken in Windows-Systemen, um sich in Systemen einnisten zu können. Bereits dies spricht für Täter mit etwas mehr Möglichkeiten, da Informationen über solche Schwachstellen nicht gerade alltäglich sind und teils teuer gehandelt werden.

Noch kein Patch

Wenn Tarrask den Weg in ein System gefunden hat, wird die Malware auch nicht direkt mit offensichtlichen Schadroutinen aktiv, sondern setzt sich erst einmal fest und beginnt damit, die Security-Funktionen des jeweiligen Rechners und dem angeschlossenen Netzwerk zu beeinträchtigen, damit diese später zu leichteren Zielen für weitergehende Attacken werden.

Die von dem Schadcode ausgenutzte Zero-Day-Lücke steckt im Windows Task Scheduler. Einen Patch gibt es bisher noch nicht. Microsoft dürfte allerdings mit Hochdruck daran arbeiten. Microsofts DART-Team empfiehlt Administratoren in einem ersten Schritt im Microsoft-Windows-TaskScheduler/Operational Task Scheduler-Log das Logging für TaskOperational anzuschalten. Darüber lassen sich verdächtige Netzwerkverbindungen, die von Tarrask aufgebaut werden, entdecken und infizierte Systeme finden.

Siehe auch: